GitHubは5月20日(現地時間)、自社の内部リポジトリへの不正アクセスについて、調査の続報を公式Xアカウントで発表した。コードエディタ「Visual Studio Code」の悪意のある拡張機能が関与しており、従業員の端末を侵害したとしている。
ハッカー集団「TeamPCP」が関与か
これは、「Breached」というダークウェブ上のハッキングフォーラムで、サプライチェーン攻撃(ソフトウェアの供給ルートを狙う手法)を繰り返してきたハッカー集団「TeamPCP」が、同社の内部リポジトリのデータを窃取したと主張したことへの対応とみられる。米テックメディア「BleepingComputer」によると、TeamPCPはダークウェブ上への最初の投稿で、窃取したリポジトリの数を「約4000件」と主張。また、それらのデータを5万ドル以上で販売するとし、「買い手が現れなければ全データを無償で公開する」とも予告していた。
GitHubの見解と被害状況
GitHubは、流出の可能性があるのは内部リポジトリのみに留まると現時点の見解を示した。一方で、攻撃者が主張する約3800件のリポジトリについては、「これまでの調査と方向性が一致している」と明らかにしている。
同社は発表時点までに問題の拡張機能のバージョンを削除。また、システムへのアクセスに使う重要な認証情報を、影響の大きいものから優先的に無効化・更新したと公表した。さらに、今後については引き続き検証を進め、調査の進展に応じて追加の対処を講じるとしている。詳細な報告は調査完了後に公開する予定だ。
関連するセキュリティ問題
今回のインシデントに関連し、複数のセキュリティ問題が浮上している。マネーフォワードは5月1日に「GitHub」経由での不正アクセスを発表してから約1週間が経過した。同社は安全確認のため銀行連携機能を一時停止しているが、5月7日現在も多くの金融サービスで連携停止状態が続いている。同社は「現時点で銀行連携の再開は未定だが、安全性の確認が完了次第、連携を再開できるよう対応してまいります」と回答した。
また、クラウドファンディング事業を手掛けるCAMPFIREは4月24日、3日に発表したGitHubアカウントへの不正アクセスを踏まえ、最大22万5846人分の情報が漏えいした可能性があると発表した。
さらに、GitHubに大量の悪質リポジトリ、その数「10万超」が存在し、感染するとパスワード流出の恐れがあるとして、サイバーセキュリティ企業が注意を呼びかけている。GitHubでマルウェアを仕込んだリポジトリを本物に見せかけて拡散させる手法が横行し、10万を超す感染リポジトリが見つかっているという。
