議会の両院の議員は、KrebsOnSecurityが今週報じたCISA請負業者がAWS GovCloudのキーと膨大な機関秘密を公開のGitHubアカウントに意図的に公開したというニュースを受けて、米国サイバーセキュリティ・インフラストラクチャ安全保障局(CISA)に説明を求めている。CISAはいまだに違反を封じ込め、流出した認証情報を無効化しようと苦労しているさなかでの調査である。
5月18日、KrebsOnSecurityは、同機関のコード開発プラットフォームへの管理者アクセス権を持つCISA請負業者が「Private-CISA」という名前の公開GitHubプロファイルを作成したと報じた。これには数十のCISA内部システムへの平文の認証情報が含まれていた。流出した秘密を検証した専門家は、コードリポジトリのコミットログに、CISA請負業者が公開リポジトリへの機密認証情報公開に対するGitHubの組み込み保護を故意に無効化したことが示されていると述べた。
CISAは流出を認めたが、データ流出期間に関する質問には応じていない。ただし、現在は削除されたPrivate-CISAアーカイブを検証した専門家は、それが元々2025年11月に作成され、個別のオペレーターがプロジェクトリポジトリではなく作業用スクラップパッドまたは同期メカニズムとしてリポジトリを使用していたことと一致するパターンを示していると述べた。
書面での声明で、CISAは「この事件によって機密データが侵害されたという兆候はない」と述べた。しかし、5月19日にCISA代理長ニック・アンダーセンに送付した書簡(PDF)で、マギー・ハッサン上院議員(D-NH)は、認証情報の流出がサイバー侵害防止支援を任務とする当該機関でいかにしてこのようなセキュリティ上の怠慢が発生し得るのかについて深刻な疑問を提起していると述べた。
「このニュース報道は、米国の重要なインフラに対する重大なサイバーセキュリティ脅威の最中にあるCISAの内部方針および手続きに関する深刻な懸念を提起しています」と、ハッサン上院議員は記述した。
マギー・ハッサン上院議員(D-NH)がCISA代理長に送付した5月19日の書簡は、違反に関する12の質問への回答を要求した。
ハッサン上院議員は、この事件がトランプ政権がこの機関の様々な部門全体で多くの早期退職、買収と辞職を強制した後、CISAが労働力の3分の1以上とほぼすべての上級指導者を失ったという背景を指摘した。
ベニー・トンプソン下院議員(D-MS)、下院国土安全保障委員会の筆頭メンバーも同様の懸念を述べた。
「この事件は軽減されたセキュリティ文化および/またはCISAが契約支援を適切に管理できない能力を反映していることに懸念を持っています」とトンプソンは、5月19日の書簡でCISA代理長に書いた。この書簡にはデリア・ラミレス下院議員(D-Ill)、同委員会のサイバーセキュリティおよびインフラストラクチャ保護小委員会の筆頭メンバーが連署した。「中国、ロシア、イランなどの敵が連邦ネットワークへのアクセスと永続性を獲得しようとしていることは周知の事実である。『Private-CISA』リポジトリに含まれるファイルはそれを実現するための情報、アクセス、およびロードマップを提供した。」
KrebsOnSecurityは、セキュリティ企業GitGuardianによってCISAがデータ流出について最初に通知されてから1週間以上経過した後でも、同機関は依然として流出した多くのキーと秘密を無効化および交換するために取り組んでいることを知った。
5月20日、KrebsOnSecurityはDylan Ayrey、TruffleHogの開発者から話を聞いた。TruffleHogはGitHubおよび他の公開プラットフォームでホストされているコード内に埋め込まれた秘密鍵およびその他の秘密を発見するオープンソースツールである。Ayrey は、CISAがPrivate-CISAレポジトリに公開されたRSA秘密鍵をまだ無効化していないと述べた。この鍵はCISA企業アカウントが所有するGitHub アプリへのアクセスを付与し、全コードリポジトリへの完全なアクセス権を持つCISA-IT GitHub組織にインストールされている。
「この鍵を持つ攻撃者は、プライベートリポジトリを含むCISA-IT組織内のすべてのリポジトリからソースコードを読み取ることができ、悪質なセルフホストランナーを登録してCI/CDパイプラインを乗っ取り、リポジトリシークレットにアクセスし、ブランチ保護ルール、Webhook、デプロイキーを含むリポジトリ管理者設定を変更できます」とAyreyはKrebsOnSecurityに述べた。CI/CDは継続的統合および継続的デリバリーを表し、ソフトウェアの構築、テスト、およびデプロイメントを自動化するために使用される一連の実践を指す。
KrebsOnSecurityは5月20日にAyreyの知見についてCISAに通知した。CISAはその報告の受領を認めたが、その後の質問には応じていない。Ayrey は、CISAはその通知後のある時点で公開されたRSA秘密鍵を無効化したようだと述べた。しかし、彼はCISAがまだ機関のテクノロジーポートフォーション全体に展開されている他の重要なセキュリティテクノロジーに関連する流出認証情報をローテーションしていないことを指摘した(KrebsOnSecurityは現在これらのテクノロジーを公開で命名していない)。
Ayrey は、彼の企業Truffle SecurityがGitHubおよび複数の他のコードプラットフォームで公開キーを監視し、機密データ流出について影響を受けたアカウントに警告しようとしていると述べた。TruffleHogはGitHubが公開しているライブフィードを監視することでこれを行う。このフィードには、すべてのコミットおよび公開コードリポジトリの変更に関する記録が含まれている。しかし、彼はサイバー犯罪者もこれらの公開フィードを監視しており、コードコミットで意図的に公開されたAPIまたはSSHキーに素早く飛びつく傾向があると述べた。
Private-CISA GitHub repoは重要なCISA GovCloudリソースへの平文認証情報を数十公開した。
実際的には、サイバー犯罪グループまたは外国の敵もCISAの秘密の公開に気づいた可能性が高く、最も悪質なものは2025年4月下旬に発生したようだとAyreyは述べた。
「われわれはそのデータストリームを監視してキーを探し、それらが誰のものであるかを突き止めるためのツールを持っている」と彼は述べた。「攻撃者もそのストリームを監視していることを示す証拠がある。GitHubイベントを監視する人は誰でもこの情報を持っている可能性がある。」
ジェームス・ウィルソン、Risky Businessセキュリティポッドキャストのエンタープライズテクノロジーエディターは、コードプロジェクトを管理するためにGitHubを使用する組織は、従業員がGitHubの秘密キーと認証情報の公開に対する保護を無効化することを防ぐトップダウンポリシーを設定できると述べた。しかし、ウィルソンのコホストアダム・ボイローは、従業員が彼ら自身の個人GitHub アカウントを開いて機密および独占情報を保存するために使用することを防ぐどのような技術も明確ではないと述べた。
「最終的には、これは技術的なコントロールでは解決できない問題である」とボイロー今週のポッドキャストで述べた。「これはあなたがこの仕事をするために請負業者を雇ったが、彼らが自分の意志でGitHubを使用して仕事用マシンからホームマシンへコンテンツを同期することを決定したヒューマンプロブレムである。CISAが管理していないか、可視性を持たないであろうことの外で行われているため、あなたが実行できる技術的なコントロールが何であるかについては分かりません。」
翻訳元: https://krebsonsecurity.com/2026/05/lawmakers-demand-answers-as-cisa-tries-to-contain-data-leak/
