GitHub Actionへのサプライチェーン攻撃で大量の秘密情報が漏えい：Cybersecurity Dive

GitHubで広く使われるCI/CDプラットフォーム「tj-actions/changed-files GitHub Action」に対するサプライチェーン攻撃が見つかった。こうしたリスクに適切に対処しなければ、今後手に負えない事態に発展する可能性があるという。

[David Jones，Cybersecurity Dive]

　セキュリティ研究者は、変更されたファイルを識別する目的で「GitHub」の2万3000件以上のリポジトリで使用されているプラットフォーム「tj-actions/changed-files GitHub Action」に対するサプライチェーン攻撃について警告した。

　StepSecurityによると、2025年3月14日（現地時間）の早朝に悪質なコミットが検出され、これが大量の秘密情報の漏えいにつながったようだ（注1）。

「今後手に負えなくなる事態になる可能性がある」　今回の攻撃のリスクは

　このプラットフォームはCI/CD（継続的インテグレーション／継続的デリバリー）のプロセスで広く使用され、ソフトウェア開発の自動化に役立っている。

　StepSecurityのヴァルン・シャルマ氏（CEO）は電子メールで次のように述べた。

　「このインシデントは、ソフトウェアサプライチェーンに関するリスクの増大と、このような攻撃を検出して防止するために、CI/CDに関するセキュリティをリアルタイムで監視する必要があることを浮き彫りにしている」

　同インシデントは「CVE-2025-30066」として追跡されており（注2）。悪用されるとリモートの攻撃者はアクションログを読み、秘密情報を発見できる。

　サイバーセキュリティ事業を営むWizの脅威研究チームであるWiz Threat Researchは、同インシデントの影響を受けた数十のリポジトリを特定した（注3）。これには大規模な組織が運営するリポジトリも含まれている。

　流出したCI/CDに関する秘密情報の中には、アクティブなAWSアクセスキーやGitHubの個人用アクセストークン、プライベートなRSAキーなどが含まれていた。

　情報技術業界の企業や組織が参加する非営利団体であるIT-ISACのジョナサン・ブレイリー氏（脅威情報ディレクター）は、次のように述べた。

　「悪質なアップデートは迅速に解決されたが、今後、企業はどのソフトウェアに悪質なパッケージが使用されているかを調査しなければならない」

　また、ブレイリー氏は「Cybersecurity Dive」に対して電子メールで次のように語っている。

　「攻撃者がアップデートを推奨できるアカウントを制御できるようになると、事態はすぐに手に負えなくなる。これらのオープンソースプロジェクトの幾つかは数百ないし数千の製品で使用されているため、1つが侵害され悪質なアップデートが推奨された場合、大変な事態になるだろう」

（注1）Harden-Runner detection: tj-actions/changed-files action is compromised（StepSecurity）
（注2）CVE-2025-30066 Detail（NIST）
（注3）GitHub Action tj-actions/changed-files supply chain attack: everything you need to know（WIZ）

原文へのリンク