- 「Private‑CISA」という名前の公開GitHubリポジトリが、米国サイバーセキュリティ・インフラ防御庁(CISA)が使用する極秘の内部認証情報とシステムを暴露していた
- セキュリティ研究者らは漏洩の真正性を確認し、これまで見た中で最悪の政府データ暴露の一つであると説明した
- 請負業者Nightwingが管理していたリポジトリは最終的にロックダウンされ、CISAは将来のインシデントを防ぐための安全措置を約束した
研究者らは、潜在的に非常に機密性の高い米国政府情報を含む、「最近の歴史の中で最も悪質な政府データ漏洩の一つ」と彼らが呼んだものの詳細を明かしました。
セキュリティ研究者Guillaume Valadonは、公開GitHubリポジトリの責任者に連絡するのを支援するため、 KrebsOnSecurityに連絡しました。
メッセージに応答していなかったこの人物は、特に以下のものを含む「Private-CISA」という名前のGitHubリポジトリを運用していました:
- 3つのアカウントのAWS GovCloud管理認証情報
- AWSアクセスキー
- AWSトークン(「importantAWStokens」ファイルを含む)
- CISA内部システムのプレーンテキスト形式のユーザー名とパスワード
- ログイン認証情報を含む「AWS-Workspace-Firefox-Passwords.csv」
- 内部システム「LZ-DSO」(Landing Zone DevSecOps)の認証情報
- CISA/DHS内部システム認証認証情報
- 内部Artifactory(ソフトウェアリポジトリ)の認証情報
- 公開リポジトリで暴露されたSSHキー
「キャリアの中で最悪の漏洩」
Valadonは、アーカイブがCISAがどのように社内でソフトウェアを構築・展開するかについて詳細を記載していると述べ、一般的に「私が目撃した中で最悪の漏洩」であると述べました。
KrebsOnSecurityと共有した手紙で、Valadonは、内部で見つかったファイルの機密性を考えると、最初はデータベース全体が偽物だと思ったと述べました。「これは明らかに個人の誤りですが、内部プラクティスを明かす可能性があると思います」と彼は述べました。
複数のセキュリティ研究者は漏洩の真正性を確認し、内部で見つかった認証情報の少なくとも一部が機能していたと述べました。米国サイバーセキュリティ・インフラ防御庁(CISA)に連絡した後、リポジトリをロックダウンすることに成功し、CISAはこの問題を調査中であることを確認しました:
「現在のところ、このインシデントの結果として機密データが危険にさらされたという兆候はありません」とCISAのスポークスマンは述べたとされています。「チームメンバーを最高の完全性と運用意識の基準に保持していますが、将来の発生を防ぐための追加の安全措置が実装されるようにしています」
研究者らは後に、政府請負業者Nightwingがリポジトリを管理していたことを確認しました。Nightwingはコメントを拒否し、すべての問い合わせをCISAに指示しました。リポジトリがどのくらいの期間開いていたかは不明ですが、2025年11月中旬に作成されたもので、おそらく開始時からロック解除されていたと思われます。
