CISA、GitHubへのパスワード・クラウドアクセスキー流出につながったセキュリティ上の不備を詳細に説明

公開GitHubコードリポジトリの利用をめぐる脆弱なセキュリティ管理体制が原因で、サイバーセキュリティ・インフラセキュリティ庁(CISA)の契約企業が誤って非公開のクラウドアクセスキーなどの機密認証情報を流出させてしまったことが、CISAが木曜日に公表した報告書で明らかになりました。

CISAの代理最高情報責任者(CIO)であるプレストン・ワーンツ氏と、代理最高情報セキュリティ責任者(CISO)であるブラッド・リビー氏は、報告書の中で「当該人物は、クラウドインフラを自律的に構築する目的で、CISAのビルド・デプロイ用リポジトリのコピーを自身の個人GitHubアカウントにアップロードしていた」と述べています。

両氏によると、契約企業の担当者はリポジトリを利用可能な状態にする過程で、CISAのコーディングシステム用の管理者権限およびビルド用の認証情報に加え、クラウドプラットフォームの構成管理に関する指示書に相当する「インフラストラクチャー・アズ・コード」データもアップロードしてしまいました。このデータには、Amazon Web Servicesなどのサービス向けの非公開アクセスキーも含まれていたということです。

独立系セキュリティジャーナリストのブライアン・クレブス氏がこの流出を最初に報じたのは2026年5月中旬のことで、政府契約企業であるナイトウィング社によるものとされています。この報道をきっかけに、議員らがCISAに説明を求めるなど、事態を厳しく検証する動きが一気に広がりました。CISAが事後報告書という異例の形で情報を公表した背景には、自組織のシステムが安全であること、そして必要なプロセス・技術面の改善を進めていることを、議会や業界パートナー、一般市民に対して示そうとする狙いがあったとみられます。

CISAによると、同庁がこの流出を最初に把握したのは、クレブス氏が記事執筆にあたりコメントを求めてきた時点だったといいます。CISAはその後、直ちに「迅速かつ包括的な対応」に着手し、契約企業のGitHubリポジトリをオフラインにするとともに、当該人物のCISAシステムへのアクセス権限を無効化しました。

CISAはログファイルの分析により、流出した認証情報が不正に使用された形跡はなく、「顧客データや業務データの流出も確認されなかった」と結論付けたとしています。

CISAは、流出したパスワードだけでなく、当該契約企業がアクセス可能だったすべての開発環境で使用されているパスワードを更新しました。また、流出したクラウドアクセスキーも更新しましたが、「CISAのシステムおよび連邦政府・業界パートナーとの相互接続の複雑さ」により、この作業には「想定より長い時間」がかかったと認めています。

さらにCISAは、コードリポジトリの許可リストと拒否リストを「調整」し、職員が公開リポジトリにデータをアップロードできないよう制限することで、今後同様の流出が起きるのを防ぐ措置を講じました。

今回の流出から得られた教訓

CISAの報告書の大部分は、今回のインシデントを通じて浮き彫りになった、同庁がうまくできていた点と改善が必要な点についての説明に充てられています。

包括的なログ記録のおかげで、CISAは認証情報の不正使用や侵入の可能性を排除できましたが、同庁は、あらゆる組織がログ収集の網羅性と精度を継続的に改善していく必要があると述べています。「そのため、CISAはインシデント対応を進める中でさらなるログ記録の機会を戦略的に洗い出し、可視性を高めるためにその追加対応をすでに実施しています」としています。

AWSのセキュリティキーのようなクラウドアクセスの「シークレット」が流出したことは、CISA側の特に重大な見落としを反映するものであり、同庁もその点での失態を認めています。「どのリポジトリにもシークレットが含まれるべきではないにもかかわらず、シークレットがCISAの非公開リポジトリに紛れ込んでしまいました」とCISAは述べています。「CISAはその後すべてのシークレットをローテーションし、開発者のシークレット管理を改善するとともに、今後は流出したシークレットの監視体制を強化するための行動計画を策定しました」ということです。

CISAはこれまで長年にわたり、各種インシデントへの対応手順書(プレイブック)を作成するよう各組織に呼びかけてきました。しかし、そう訴えてきたにもかかわらず、CISA自身はGitHum経由のクラウドセキュリティ流出に対応するプレイブックを持っていませんでした。その結果、同庁は「インシデント対応の初期段階で、プレイブックの作成に時間を割かざるを得なかった」としています。

さらに、CISAの担当者はサイバーインシデントを同庁に報告することがいかに簡単かを常々強調していますが、今回のGitHub流出が公になったのは、それを発見したセキュリティ研究者が同庁への連絡方法が分からず、代わりに報道機関に持ち込んだことがきっかけでした。この事実は、自組織の技術に関わるインシデントを報告するための明確な窓口をCISAが整備できていなかったことを浮き彫りにしています。

CISAは「あいまいさを減らすため、研究者がより使いやすく、より迅速に利用できるよう報告経路の見直しを進めています」と述べています。

今回のGitHub流出への対応を詳細に説明する中で、CISAは他の組織も同様の事態に直面した際に、同じように率直な姿勢を示してほしいとの考えを示しています。

CISAは「サイバーセキュリティインシデントが自組織に発生するかどうかではなく、いつ発生するかという問題です」と述べています。「こうした問題に対してオープンに向き合い、信頼を強化し透明性を高めていくことは、サイバーセキュリティコミュニティ全体にとって重要です」としています。

翻訳元: https://www.cybersecuritydive.com/news/cisa-github-passwords-leak-contractor-report/824953/

ソース: cybersecuritydive.com