出典: BullRun(Adobe Stock Photo 経由)
過去 1 年間で発生した最も重大なソフトウェア・サプライチェーン・インシデントのいくつかは、ソフトウェア開発者がコードをホスティングし共同で保守するために広く利用しているグローバルなリポジトリである GitHub の脆弱性を悪用した脅威アクターによって引き起こされた。
Ultralytics、Singularity、Shibaud/Shai-Hulud、そして GitHub Action tj-actions/changed-files といった大規模なサプライチェーン攻撃は、いずれも脅威アクターが GitHub Actions を侵害した事例に含まれる。GitHub Actions は、開発者がソフトウェア開発ワークフローを自動化できるようにする、GitHub の継続的インテグレーション/継続的デリバリー(CI/CD)機能だ。
最も広く利用されているコードリポジトリとして、GitHub は多くの開発者がコードのバージョンを共同で管理・追跡するために依存していることから、ソフトウェア・サプライチェーンにおいて極めて重要な役割を担っている。そのため、脅威アクターにとって魅力的な標的となる一方で、ユーザー側にも自らのコードを保護する責任の分担が求められる。
「ここ 1 年ほどの間に、当社の顧客が標的となり、GitHub が攻撃面となったケースがかなりありました」と、Wiz でアクターベクター・インテリジェンスチームを率いる脅威インテリジェンスアナリストの Amitai Cohen 氏は語る。「ネットワーク機器に脆弱性がある場合と違って、この種の攻撃が本来注目されるはずの界隈で、十分な注目を集めていないことに気づいたのです。」
Cohen 氏と Wiz のプリンシパル・セキュリティリサーチャーである Rami McCarthy 氏は、GitHub が提供するさまざまな脅威インテリジェンスソースを活用して、いくつかの攻撃に対応することにし、 今週ロンドンで開催された Black Hat Europe カンファレンスでその調査結果を共有した。
これらの攻撃では、脅威アクターは GitHub Actions の誤った設定を悪用する一連の脆弱性を通じて GitHub 上のオープンソースソフトウェアパッケージを侵害し、その結果としてシークレットが露出してしまっていた。
「設定を誤ると、攻撃者は基本的にシークレットを奪うことができてしまいます」と McCarthy 氏は言う。「ひとたびそれが起きると、組織側は攻撃者が誰だったのか、どのようなペイロードが使われたのかを深掘りする方法が分からない、という状況を私たちは見てきました。」
セッションでは、2 人の研究者がこの 1 年間にわたって実施してきた広範な調査の成果を紹介した。
彼らが最初に行ったのは、被害者へのコンタクトだった。被害者の多くはテクノロジー業界の企業であり、予想どおり、いずれも GitHub のようなリポジトリで管理されているオープンソースソフトウェアに依存している。
「こうした大企業は、開発に関して何の関係性も持たないオープンソースコードを消費しているのです」と McCarthy 氏は言う。「自社によるレビュー以外、そのセキュリティに対しても何の関係性も持っていません。」
McCarthy 氏は、これはコミュニティ全体の問題であり、これらの脆弱性がもたらす「傍観者効果」のために、より多くの注目が必要だと付け加える。例えば、今年初めに発生した Coinbase への攻撃では、サードパーティの GitHub Action である tj-actions/changed-files(CVE-2025-30066)が侵害されたことにより、約 7 万人の顧客に影響が及んだ。この脆弱性により、有効なアクセスキー、GitHub パーソナルアクセストークン(PAT)、npm トークン、秘密の RSA 鍵といったシークレットへのアクセスが可能になっていたと、CISA の勧告は伝えている。
「その件では、攻撃者は Coinbase を狙っていたものの、その攻撃経路を通じて多くの他社にも影響を及ぼす結果になりました」と McCarthy 氏は語る。これは、顧客とプロバイダーの間で共有される責任モデルが、より適切に順守される必要があることを示す一例だと同氏は指摘する。
「誰もが自分のコードを GitHub に置き、あらゆる目的でそれを利用できるわけですが、あらゆるオープンソースの利用やすべてのパイプラインを GitHub が完全に保護しなければならない、という話にはなりません」と同氏は言う。業界は、GitHub がセキュリティコントロールを備えているか、防御策を開発していると想定しがちだが、「GitHub プラットフォーム上で悪い判断をしてしまうことは依然としてあり得ます」。プラットフォームにはいくつかのセキュリティ機能が用意されているものの、ユーザーにそれらの利用が義務付けられているわけではなく、すでに廃止され、もはや推奨されていないオプション機能も存在すると同氏は説明する。
McCarthy 氏によれば、同氏と Cohen 氏は、脅威インテリジェンスやリサーチに役立つ GitHub リポジトリを共有することを目的に Black Hat でのセッションを企画したという。ただし、この講演を受けて GitHub が大きく変わることは期待していないとも付け加えた。
「私たちは、脅威インテリジェンスの状況や、私たちが目にしているデータに関して、GitHub に何かを変えてほしいと求めているわけではありません」と同氏は言う。「私たちにとって重要なのは、よく知られた機能の数々の点と点をつなぎ合わせ、それらをセキュリティ研究者、防御側、そしてコミュニティにとって理解しやすいものにすることなのです。」
