GitHub.comへのアクセス停止 原因はGitHub側の緊急鍵交換
GitHubはGitHub.comのGitオペレーションで使っているRSA SSHホスト鍵を急きょ交換した。この影響で多くの開発者が同サービスに接続できない状況を経験した。この背景についてGitHubが説明した。
GitHubは2023年3月24日(現地時間)、「GitHub.com」のGitオペレーションで使っているRSA SSHホスト鍵を交換していたことを発表した。この鍵入れ替えは周知される前に急きょ実行された。これによって、多くの開発者がGitHub.comに接続できなくなった。
なぜGitHubは急きょ鍵交換を実施したのか?
2023年3月24日、GitHub.comへのSSH接続がエラーを返すようになった。警告は中間者攻撃(MITM)の可能性を示唆しており、多くの開発者が首をひねった。出力される警告はホストがIPアドレスを変更した場合などに表示されるものと同じであり、状況としてはGitHub.com側が何らかの変更を実施したかのように見えた。
GitHubは2023年3月24日5時00分(UTC)にGitHub.comで使用しているGitオペレーション用のRSA SSHホスト鍵を交換したとしており、日本においてもこの時刻からGitHub.comへのRSS SSHを使用した従来のアクセスが拒否されるようになった。
GitHubは急きょこのような変更を実施した背景として、RSA SSHホストの秘密鍵を誤ってリポジトリ経由で公開してしまったからだと説明している。サイバー攻撃などによって漏えいしたのではなく、操作を誤って一時的に公開したリポジトリに秘密鍵が含まれてしまっていたという。
GitHubは状況が判明してから該当する秘密鍵の公開を止めるとともに調査を実施した。操作ミスによって公開されてしまったものであること、この秘密鍵を悪用した形跡は見られないことなどが判明している。今回の秘密鍵交換はこうしたインシデントへの緊急対応ということになる。
サイバー攻撃者がGitHub.comの流出した秘密鍵を取得していた場合、同サービスを模倣したサイバー攻撃が可能になる。なお、デジタル署名方式「ECDSA」および「Ed25519」のユーザーは今回の鍵交換の影響を受けない。再度接続できるようにするにはGitHub.comに対する古い鍵を削除して新しい鍵を追加する必要がある。
関連記事
- GitHub DesktopとAtomすぐに更新を 不正アクセスに対応
GitHub DesktopとAtomのリポジトリが不正アクセスを受けた。GitHubは予防措置として関連する公開証明書を取り消すことを決定。結果としてこれらの特定バージョンが使用できなくなると伝えた。 - GitHubついに二要素認証を義務化へ
GitHubがサイバー攻撃対策に本腰を入れるようだ。 - OktaのGitHubリポジトリに不正アクセス ソースコード流出による影響は?
BleepingComputerは、IDaaSベンダーOktaのGitHubリポジトリが不正アクセスを受けて、ソースコードが不正コピーされたと伝えた。 - OSSの脆弱性修正をスピーディーに GitHub.comが新機能のベータ版を公開
GitHub.comに新たなセキュリティ機能が追加された。OSSの脆弱性報告を容易化し、迅速な修正を促す狙いがあるものとみられる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.