サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)で働くNightwingの契約社員が、GitHubリポジトリを通じて、高度な権限を持つAWS GovCloud認証情報、プレーンテキストのパスワード、および機密性の高い内部システムファイルを公開しました。
Private-CISAリポジトリは2025年11月13日から2026年5月中旬まで公開アクセス可能な状態のままでした。その時に独立した研究者がCISAに露出について通知しました。
2026年5月15日、公開コードリポジトリで露出した秘密情報を継続的にスキャンする企業GitGuardianのサイバーセキュリティ研究者であるGuillaume Valadonは、アカウント所有者が自動アラートに応答しなかった後、このリポジトリにフラグを付けました。
GitGuardianのプラットフォームは、見かけ上の機密データ露出について違反したアカウントに自動的に通知しますが、この場合は応答がありませんでした。
コミットログの分析により、契約社員はGitHubの組み込みシークレットスキャン機能を意図的に無効にしたことが明らかになりました。この機能は、ユーザーがSSHキーまたは機密認証情報を公開リポジトリに公開するのをブロックするように設計されています。
「CSVにプレーンテキストで保存されたパスワード、gitのバックアップ、GitHubシークレット検出を無効にする明示的なコマンド」とValadonは述べました。「これは確かに私のキャリアの中で目撃した最悪のリークです。」
Caturegliは、2025年11月以降の一貫したコミットアクティビティを踏まえると、このリポジトリは契約社員の仕事用ラップトップと自宅のコンピューター間の個人的な同期メカニズムとして使用されていた可能性が高いと評価しました。
セキュリティ専門家は、artifactoryへのアクセスは最も危険な長期的な脅威ベクトルを表していると警告しました。
「ソフトウェアパッケージの一部にバックドアを仕込み、新しい何かを構築するたびに、あなたのバックドアをあちこちにデプロイします」とCaturegliは警告しました。「それはラテラルムーブメント(横展開)するのに最適な場所になるでしょう。」
KrebsOnSecurityとSeralysがCISAに通知した後、リポジトリはオフラインになりました。しかし、露出したAWSキーは謎のことに、テイクダウン後さらに48時間有効なままでした。これはCISAの認証情報取り消し手順に関する深刻な懸念を生じさせます。
CISA担当者は、機関が認識し調査中であることを確認しました:「現在、このインシデントの結果として機密データが侵害されたという兆候はありません。今後の発生を防ぐために追加のセーフガードが実装されることを保証するために取り組んでいます。」
機関は第2次トランプ政権の開始以来、強制退職、自主的な買収、および辞職の組み合わせにより、約3,400人の従業員から2025年後半までに約2,400人に減少し、ほぼ3分の1の職員を失いました。
その運営予算は4億2000万ドルを超える削減に直面しており、削減はサイバーセキュリティ操業、トレーニングプログラム、および国立リスク管理センターを対象としています。
翻訳元: https://cyberpress.org/cisa-admin-exposes-aws-govcloud/