GitHub、約4,000件の非公開リポジトリからのコード窃取疑惑を調査
GitHubは、従業員のデバイス上で汚染されたVisual Studio Code拡張機能が原因で社内リポジトリ約3,800件への不正アクセスが発生したとし、開発インフラに依存するプロジェクトにとって、より広範なソフトウェアサプライチェーンリスクが浮き彫りになったと述べた。
ファクトチェック
2026年5月20日の事象当日に公開された5つの情報源はいずれも、この主張の両要素を一貫して裏付けている。GitHubの侵害については、cybersecuritynews.comとhow2shout.comが、侵害された従業員デバイス上の悪意あるVS Code拡張機能を通じて約3,800件の社内リポジトリが流出したと報じており、「数千件の社内リポジトリ」との記述と整合する。CZによるAPIキー警告については、crypto.news、odaily.news、spendnode.ioがいずれも、GitHubの事案を受けてCZがXに投稿し、コード内、非公開リポジトリを含めて保存されたAPIキーをローテーションするよう開発者に促したと伝えており、これを裏付けている。この主張は、侵害対象がGitHubの顧客リポジトリではなくGitHub自身の社内リポジトリであった点を正確に捉えており、またCZの助言を、コード内にAPIキーを保存している仮想通貨開発者を対象としたものとして適切に位置付けている。唯一の小さな不正確さは、主張が「数千」としているのに対し、情報源が約3,800件と具体化している点だが、これは整合的である。これに反する証拠は見当たらなかった。
要約
GitHubは、侵害された従業員デバイス上の悪意あるVisual Studio Code拡張機能によって侵害が可能になった後、5月19日に社内リポジトリへの不正アクセスを検知し封じ込めたと発表した。同社によれば、この活動にはGitHub社内リポジトリの持ち出しが含まれ、調査結果は攻撃者が約3,800件のリポジトリにアクセスしたとの主張と整合している。一方で、以前の報道や攻撃者の主張では約4,000件とされていた。GitHubは、ユーザーリポジトリ、エンタープライズアカウント、またはそれら社内システム外に保存されたその他の顧客データが影響を受けた証拠は見つかっていないと述べた。この事案は、Google Threat Intelligence GroupがUNC6780と特定したTeamPCPによるものとされており、ウォレット、取引所、ブロックチェーンアプリケーション、スマートコントラクト開発者を含む多くのプロジェクトがGitHubでホストされる開発ツールと共有インフラに依存しているため、ソフトウェアサプライチェーンリスクへの懸念を強めている。GitHubは、悪意ある拡張機能のバージョンを削除し、エンドポイントを隔離し、重要なシークレットをローテーションしたとし、一方でChangpeng Zhaoは開発者に対し、コード内のあらゆるAPIキーをローテーションするよう促した。
用語解説
- ソフトウェアサプライチェーン: ソフトウェアを構築するために使われるコード、ツール、ライブラリ、プラットフォームのネットワーク。侵害が発生すると、多くの依存プロジェクトにリスクが波及し得る。
- APIキー: アプリケーションがサービスまたはデータにアクセスするために使う秘密認証情報。コードやリポジトリ内で露出した場合、不正な操作やアカウントアクセスを許す可能性がある。
- Visual Studio Code拡張機能: VS Code開発環境向けのアドオン。悪意ある、または汚染された拡張機能は、開発者システムへのサプライチェーン攻撃ベクトルになり得る。