GitHub.comへのアクセス停止 原因はGitHub側の緊急鍵交換
GitHubはGitHub.comのGitオペレーションで使っているRSA SSHホスト鍵を急きょ交換した。この影響で多くの開発者が同サービスに接続できない状況を経験した。この背景についてGitHubが説明した。
この記事は会員限定です。会員登録すると全てご覧いただけます。
GitHubは2023年3月24日(現地時間)、「GitHub.com」のGitオペレーションで使っているRSA SSHホスト鍵を交換していたことを発表した。この鍵入れ替えは周知される前に急きょ実行された。これによって、多くの開発者がGitHub.comに接続できなくなった。
なぜGitHubは急きょ鍵交換を実施したのか?
2023年3月24日、GitHub.comへのSSH接続がエラーを返すようになった。警告は中間者攻撃(MITM)の可能性を示唆しており、多くの開発者が首をひねった。出力される警告はホストがIPアドレスを変更した場合などに表示されるものと同じであり、状況としてはGitHub.com側が何らかの変更を実施したかのように見えた。
GitHubは2023年3月24日5時00分(UTC)にGitHub.comで使用しているGitオペレーション用のRSA SSHホスト鍵を交換したとしており、日本においてもこの時刻からGitHub.comへのRSS SSHを使用した従来のアクセスが拒否されるようになった。
GitHubは急きょこのような変更を実施した背景として、RSA SSHホストの秘密鍵を誤ってリポジトリ経由で公開してしまったからだと説明している。サイバー攻撃などによって漏えいしたのではなく、操作を誤って一時的に公開したリポジトリに秘密鍵が含まれてしまっていたという。
GitHubは状況が判明してから該当する秘密鍵の公開を止めるとともに調査を実施した。操作ミスによって公開されてしまったものであること、この秘密鍵を悪用した形跡は見られないことなどが判明している。今回の秘密鍵交換はこうしたインシデントへの緊急対応ということになる。
サイバー攻撃者がGitHub.comの流出した秘密鍵を取得していた場合、同サービスを模倣したサイバー攻撃が可能になる。なお、デジタル署名方式「ECDSA」および「Ed25519」のユーザーは今回の鍵交換の影響を受けない。再度接続できるようにするにはGitHub.comに対する古い鍵を削除して新しい鍵を追加する必要がある。
関連記事
GitHub DesktopとAtomすぐに更新を 不正アクセスに対応
GitHub DesktopとAtomのリポジトリが不正アクセスを受けた。GitHubは予防措置として関連する公開証明書を取り消すことを決定。結果としてこれらの特定バージョンが使用できなくなると伝えた。
GitHubついに二要素認証を義務化へ
GitHubがサイバー攻撃対策に本腰を入れるようだ。
OktaのGitHubリポジトリに不正アクセス ソースコード流出による影響は?
BleepingComputerは、IDaaSベンダーOktaのGitHubリポジトリが不正アクセスを受けて、ソースコードが不正コピーされたと伝えた。
OSSの脆弱性修正をスピーディーに GitHub.comが新機能のベータ版を公開
GitHub.comに新たなセキュリティ機能が追加された。OSSの脆弱性報告を容易化し、迅速な修正を促す狙いがあるものとみられる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- 管理職なら年収2000万円超え サイバーセキュリティという困難だが“もうかる仕事”
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft、脆弱性の開示に向けて業界標準の体系を採用 大改革がもたらすメリット
- NVDは多くの課題を抱えて機能不全に陥っている 問題点を整理しよう
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- ドローンいらず? 飛行動画作成できる「Google Earth Studio」登場
ITmediaはアイティメディア株式会社の登録商標です。