GitHub DesktopとAtomすぐに更新を 不正アクセスに対応
GitHub DesktopとAtomのリポジトリが不正アクセスを受けた。GitHubは予防措置として関連する公開証明書を取り消すことを決定。結果としてこれらの特定バージョンが使用できなくなると伝えた。
GitHubは2023年1月30日(現地時間)、「GitHub Desktop」とテキストエディタ「Atom」のリポジトリが不正アクセスを受けたと伝えた。
調査の結果、予防措置として関連する公開証明書を取り消すことを決定したとしており、この影響でGitHub DesktopとAtomの一部のバージョンが使用できなくなる。該当バージョンを利用している場合は、アップデートまたはダウングレードが必要だ。
アップデートまたはダウングレードが必要なGitHub DesktopとAtomは?
GitHubは2022年12月7日(現地時間)、GitHub DesktopとAtomの開発および計画用リポジトリへの不正アクセスを検出していた。その後の調査の結果、コード署名証明書のセットが窃取されたことが判明している。ただし、これらの証明書は暗号化されて保護されており、今のところ悪意ある使用の証拠は確認されていない。
GitHubは調査結果を受け、予防措置としてアプリケーションに使用されている公開証明書を取り消すことを決定した。この取り消しによって以下のアプリケーションが2023年2月2日に動作を停止すると伝えた。
- GitHub Desktop for Mac version 3.1.2
- GitHub Desktop for Mac version 3.1.1
- GitHub Desktop for Mac version 3.1.0
- GitHub Desktop for Mac version 3.0.8
- GitHub Desktop for Mac version 3.0.7
- GitHub Desktop for Mac version 3.0.6
- GitHub Desktop for Mac version 3.0.5
- GitHub Desktop for Mac version 3.0.4
- GitHub Desktop for Mac version 3.0.3
- GitHub Desktop for Mac version 3.0.2
- Atom version 1.63.1
- Atom version 1.63.0
なお「GitHub Desktop for Windows」は影響を受けないとされている。
「GitHub Desktop for Mac」は既に新しいバージョンが公開されている。上記バージョンに該当するGitHub Desktop for Macを使っている場合、新しいバージョンにアップデートすることで使用再開できる。
GitHubは2022年12月に既にAtomのサポートを終了している。このため、問題に対応した新しいバージョンのAtomは公開されない。今後もAtomを使い続けたい場合は「Atom 1.60.0」にダウングレードする必要がある。
なおGitHubは、不正アクセスを受けたものの、プロジェクトに不正な変更は見受けられず、GitHub.comサービスにもリスクは存在しないと結論付けた。
関連記事
- GitHubついに二要素認証を義務化へ
GitHubがサイバー攻撃対策に本腰を入れるようだ。 - OSSの脆弱性修正をスピーディーに GitHub.comが新機能のベータ版を公開
GitHub.comに新たなセキュリティ機能が追加された。OSSの脆弱性報告を容易化し、迅速な修正を促す狙いがあるものとみられる。 - GitHubユーザーを標的とした新たなフィッシング詐欺 認証情報と2FAコードを窃取する手法とは
GitHubのユーザーが新たなフィッシング詐欺の標的になった。サイバーセキュリティ犯罪者は「CircleCI」になりすましてユーザーの認証情報や二要素認証コードを取得するキャンペーンを展開していたという。手法と影響は。 - GitHubが2要素認証のデフォルト化を発表 度重なるサイバー攻撃に対抗
GitHubは全てのユーザーに「2要素認証」をデフォルトで適用するという旨を伝えた。2023年末までに同変更を適用すると説明している。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.