CISAの最近のGitHub流出事件から学ぶ教訓

米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、あるコントラクターがCISAの内部認証情報数十件(AWS Govcloudのキーを含む)を公開GitHubリポジトリに掲載し、KrebsOnSecurityの通報を受けるまで約6カ月間も放置されていたデータ流出事件について、事後報告書を公表しました。専門家は、同庁の初動対応で明らかになったギャップから、すべてのセキュリティチームが学ぶべき重要な教訓が得られると指摘しています。

Image

2026年5月15日、セキュリティ企業GitGuardianが、CISA関連の機密データ844MBを含む「Private CISA」という名称の公開GitHubリポジトリの存在をCISAに通報するための協力を求めてきました。流出したファイルの一つ「importantAWStokens」には、3台のAmazon AWS GovCloudサーバーの管理者権限の認証情報が含まれていました。もう一つのファイル「AWS-Workspace-Firefox-Passwords.csv」には、CISA内部の数十のシステムに関する平文のユーザー名とパスワードが記載されていました。

CISAは最初の通報には迅速に対応したものの、GitHubリポジトリで流出したAWSキーやその他の多数の重要な機密情報を無効化するまでには48時間以上を要しました。CISAは今回のデータ流出に関する報告書の中で、同庁のシステムの複雑さや連邦機関・業界パートナーとの相互接続性が原因で、キーのローテーションに想定以上の時間がかかったと説明しています。

「この経験を踏まえ、CISAは他の組織に対しても、成熟し十分にテストされた鍵管理体制を維持するよう推奨します」と報告書には記されています。

CISAはまた、外部からのセキュリティインシデント通報への対応についても改善の余地があることを認めています。この事後報告書では、組織自体に関わるインシデントと、自社製品や顧客に関わるインシデントとを区別して扱えるよう、明確で独立した報告チャネルを整備することが不可欠だと強調されています。

「CISAの今回のケースでは、こうしたチャネルが明確に定義されていませんでした。そのためセキュリティ研究者は、コントラクターへのメール送信、CISAの脆弱性開示プラットフォーム(本来はより広いサイバーセキュリティコミュニティに影響する脆弱性向け)への提出、そして最終的には記者への連絡まで、複数の手段を試みることになりました」と、CISAの代理最高情報責任者Preston Werntz氏と代理最高情報セキュリティ責任者Brad Libbey氏が執筆した分析には記されています。

CISAは、研究者にとってより簡単かつ迅速に通報できるよう、報告チャネルの見直しを進めていると述べています。「さらに、多くの研究者はsecurity.txtファイルに頼っていますが、組織は複数の目立つ場所に報告手順を掲載することで、明確さを確保できます」とCISAの執筆者らは記しています。

5月15日にKrebsOnSecurityへ最初に連絡し、流出したCISAの認証情報について通報した、GitGuardianの研究者Guillaume Valadon氏によると、CISAは今回の通報以前に、流出した認証情報に関する自動アラートを9回にわたって無視していたといいます。同氏の会社は、GitHubなどの公開コードリポジトリを常時スキャンして流出した機密情報を検出し、該当するアカウントに対して機密データの露出が疑われる場合は自動的に通知を送っています。

「9通もの通知メールが未対応のまま放置されたことこそが、1日で済むはずのインシデントを6カ月にも及ぶ情報流出に変えてしまった理由です」とValadon氏はCISAの報告書に関する分析の中で記しています。「自社製品についてだけでなく、自組織に関する流出も簡単に報告できる仕組みにすべきです。流出を報告してくる相手は脅威ではありません。security.txtを公開するのは良いことですが、それだけで終わらせてはいけません。報告手順は複数の目立つ場所に掲示し、自組織のインフラに関する報告が製品バグの対応キューに紛れ込んでしまわないようにすべきです」

報告書の執筆者らはまた、GitHubなどの公開コードリポジトリを継続的にスキャンして流出した機密情報を検出することの重要性も強調しており、CISAはすでにすべての機密情報をローテーションし、開発者の機密情報管理を改善し、今後の監視体制を強化するための行動計画を策定したとしています。

報告書によれば、CISAはサイバーセキュリティインシデント対応のプレイブックを整備していたものの、そのプレイブックにはなぜかGitHubやその他のクラウドサービスが関わる事態への対応が含まれていなかったといいます。Valadon氏は、今回の報告書は四半期ごとではなく継続的に流出した機密情報をスキャンする必要性を裏付けるものだと述べています。

「Private-CISAリポジトリは6カ月間も公開状態のままでした」とValadon氏は記しています。「公開GitHubの継続的な監視によってようやくそれが発見されました。社内での包括的なスキャンがあれば、平文のパスワードやコミットされたバックアップが外部に流出するはるか以前に発見できたはずです。」

CISAは、流出した機密情報の範囲と影響を把握する上で役立ったとして、セキュリティ対策のいくつかの分野については自己評価で合格点をつけています。これには強化されたログ機能や、本番環境・開発環境双方におけるゼロトラスト原則の採用が含まれます。CISAによれば、こうした詳細なログのおかげで、顧客データやミッションに関わるデータは一切流出しておらず、流出した認証情報もCISAの環境外では使用されていないことを証明できたといいます。同庁は、機密情報を流出させたコントラクターについては、システムへのアクセス権限を剥奪したとしています。

Valadon氏は、最大の教訓はCISAが今回の事後報告書そのものを公表したこと自体にあると考えており、うまくいった点とうまくいかなかった点を包み隠さず示した同庁の姿勢を評価しています。

「私の知る限り、国のサイバーセキュリティ機関が機密情報スキャンの重要性を公に訴え、セキュリティ研究者との関係を簡素化するよう提唱したのはこれが初めてです」とValadon氏は記しています。「これはまさに、あらゆる組織に期待すべきインシデント対応時のコミュニケーションのあり方です。」

翻訳元: https://krebsonsecurity.com/2026/07/lessons-learned-from-cisas-recent-github-leak/

ソース: krebsonsecurity.com