GitHubがまだ2FAを設定していないユーザーに通知メール 期限迫るため急ぎ対処を：セキュリティニュースアラート

GitHubはサイバー攻撃対策としてユーザーに2FAの有効化を求めている。2024年1月19日までに2FAを設定しなければアカウントが制限されるため迅速な対応が求められる。

[後藤大地，有限会社オングス]

　GitHubは2023年5月4日（現地時間、以下同）、ユーザーに二要素認証（以下、2FA）の有効化を2023年末までに実施するよう要求した。これは「GitHub.com」（以下、GitHub）がサイバー攻撃に悪用されていることへの対策だ。

　コンピュータ情報サイトの「Bleeping Computer」は2023年12月26日、GitHubが2FA未設定ユーザーに対して通知メールを送信したと報じた。電子メールには2024年1月19日までに2FAを設定しなければアカウントが制限されると記載されている。

GitHubは2FA未設定ユーザーに対して通知メールを送信した（出典：GitHubのWebサイト）

GitHubの2FA設定期限迫る　未設定ユーザーは迅速な対応を

　GitHubは全世界で最も広く使われているソフトウェア開発者向けのホスティングサービスだ。「Git」によるバージョン管理システムや複数の開発者が共同で作業を実施するためのコミュニケーション機能などを提供している。

　GitHubが全世界のソフトウェア開発者に使われているという事実は、サイバー攻撃者にとって魅力的だ。ここ数年、サイバー攻撃者はこれを悪用してさまざまな攻撃を実行してきた。よく使われるサービスなだけにソフトウェア開発者の警戒感が低く、また、セキュリテイソフトウェアの検出を回避しやすいという理由もある。

　こうした状況を受けてGitHubはコードを投稿するユーザーに対して2FAの有効化を義務化する方針を決定した。これで全ての問題が解決するわけではないが、従来よりもサイバー攻撃への悪用が難しくなることが期待されている。

　GitHubが送った電子メールには2024年1月19日0時0分までに2FAを有効化する必要があること、有効化しないとアカウントが制限されることなどが記載されている。また、同様の通知はGitHubにログインした際にも画面上に表示される。

　この期限を過ぎてしまった場合でもパーソナルアクセストークンやSSHキー、アプリは引き続き利用可能だが、新しいアカウントの作成や設定の変更といった操作を実施する際には2FAを有効化することが必要になる。

　なお、2FAに全面移行した後は2FAの資格情報を消失した場合にアカウントにアクセスできなくなる可能性がある。このためGitHubは2つ以上の2FAを有効化することを求めている他、リカバリーコードを印刷して保管しておくことを推奨している。