MF Blogs
Tools
セキュリティの盾を中心に積み重なったブロックの抽象イメージ図

Article

GitHub、社内リポジトリへの不正アクセスを調査中。汚染されたVS Code拡張機能が発端

GitHubは2026年5月20日、従業員の端末が第三者の汚染されたVS Code拡張機能によって侵害され、社内リポジトリが不正に持ち出された可能性があると公表しました。攻撃者が主張する約3,800リポジトリという数字は調査と方向性が一致するとし、GitHubは重要な認証情報のローテーションを実施したとしています。

0:00 0:00

This article is not published in this language yet, so the Japanese version is shown instead.

GitHubは2026年5月20日付の公式セキュリティブログで、従業員の端末が侵害され、社内リポジトリが不正に持ち出された可能性があると公表しました。発端は、第三者が公開した汚染されたVS Code拡張機能だったとしています。記事はGitHubの最高情報セキュリティ責任者(CISO)アレクシス・ウェールズ氏の名義で公開されました。

セキュリティの盾を中心としたブロックのイメージ

画像引用元: GitHub Blog

汚染されたVS Code拡張機能が発端

GitHubによると、2026年5月18日(月)に、従業員の端末の侵害を検知して封じ込めたとしています。侵害には、第三者が公開した汚染された(poisoned)VS Code拡張機能が関与していたと説明されています。

GitHubは、悪意のある拡張機能のバージョンを削除し、該当のエンドポイントを隔離したうえで、ただちにインシデント対応を開始したとしています。開発者が日常的に使う拡張機能が侵入経路になった点で、ソフトウェアサプライチェーンのリスクをあらためて示す事例といえます。

拡張機能を狙うサプライチェーン攻撃

エディタの拡張機能は、開発者が高い権限で動かすことが多く、攻撃者にとって魅力的な標的になりやすい領域です。正規の配布チャネルを通じて公開された拡張機能であっても、悪意のあるバージョンが紛れ込めば、それを信頼してインストールした開発者の端末で不正なコードが実行されてしまいます。

今回GitHubが説明している経緯も、こうした「信頼されたツールの配布経路」を悪用する構図に当てはまります。攻撃者が直接GitHubのインフラを破ろうとするのではなく、従業員が使う拡張機能を侵入の足がかりにした点が特徴です。開発環境そのものが攻撃対象になりうることを示す事例といえます。

影響範囲は「社内リポジトリ」と説明

GitHubの現時点の評価では、今回の活動は「GitHub社内のリポジトリの持ち出し(exfiltration)のみ」に関わるものだとしています。攻撃者が主張している約3,800リポジトリという数字については、これまでの調査と「方向性として一致している(directionally consistent)」と述べています。

そのうえでGitHubは、顧客のエンタープライズ、組織、リポジトリといった「GitHub社内リポジトリの外に保存されている顧客情報」への影響を示す証拠は確認されていないとしています。ただし、GitHubの社内リポジトリの一部には、サポート対応のやり取りの抜粋など、顧客に由来する情報が含まれている場合があるとも明記しました。

認証情報のローテーションを実施

GitHubはリスク低減のため、迅速に対応を進めたとしています。具体的には、月曜から火曜にかけて重要なシークレット(認証情報)のローテーションを実施し、影響の大きい資格情報を優先的に切り替えたとしています。

シークレットのローテーションは、攻撃者が持ち出した可能性のある認証情報を無効化し、二次的な侵入を防ぐための基本的な対応です。GitHubは現在も、ログの分析、ローテーションの妥当性の検証、そして後続の不審な活動がないかのインフラ監視を続けているとしています。

影響が判明した場合は顧客へ通知

GitHubは「もし何らかの影響が判明した場合は、確立されたインシデント対応・通知のチャネルを通じて顧客に連絡する」と述べています。現時点では顧客自身のデータへの影響を示す証拠はないとしつつ、調査の進展に応じて追加の対応を取る方針です。

GitHubは、調査が完了し次第、より詳細な報告書を公開するとしています。今回の公表は速報的な位置づけで、最終的な影響範囲や原因の詳細は今後の報告書で明らかになる見込みです。

まとめ:拡張機能経由のサプライチェーン攻撃

今回のインシデントは、エディタの拡張機能という開発者にとって身近な経路が、攻撃の入り口になりうることを示しています。GitHub自身が侵害を受けた事例であり、開発ツールのサプライチェーンセキュリティの重要性をあらためて浮き彫りにしました。

GitHubは現状で顧客データへの影響は確認されていないとしていますが、調査は継続中です。拡張機能やパッケージを導入する際の発行元の確認、最小権限の徹底、認証情報の管理といった基本的な対策の重要性は、利用者側にとっても変わりません。続報となる詳細報告書の公開が待たれます。

Investigating unauthorized access to GitHub-owned repositories
Source GitHub Blog
Investigating unauthorized access to GitHub-owned repositories

GitHub Enterprise Server customers need to take immediate action.

Article

Related posts

ノートPCの画面にベータを示す歯車バッジとソフトウェア更新の進捗を描いた抽象イラスト
Tooling

Apple、macOS 26.6のパブリックベータ1を公開——アプリを『Intel専用』と誤判定する不具合を修正

May 30, 2026, 12:20 PM 4 min read

9to5Macは2026年5月28日、AppleがmacOS 26.6のパブリックベータ1を公開したと報じました。ビルドは25G5028fで、主な変更は一部アプリを誤って『Intel専用』と表示してしまう非推奨通知の不具合修正です。正式版はWWDC後の見込みとされています。

歯車とカレンダー・メールのアイコンを束ねる24時間稼働のエージェントを表す抽象イラスト
AI

Google、24時間稼働の個人エージェント『Gemini Spark』を米国提供——AI Ultra向けに最大15タスク同時実行

May 30, 2026, 12:10 PM 4 min read

9to5Googleは2026年5月29日、Googleが個人向けエージェント『Gemini Spark』を米国のGoogle AI Ultra加入者へ提供開始したと報じました。Workspaceや各種連携アプリ、リモートブラウザと連動してタスクを自動化し、最大15件まで同時実行できるとされています。

予算メーターが上限で止まり、盾とロックのアイコンが支出をせき止める様子の抽象イラスト
Tooling

GitHub Advanced Securityに『ハード予算上限』——上限到達でライセンス消費を自動ブロック、想定外の超過を防止

May 30, 2026, 12:00 PM 4 min read

GitHubは2026年5月28日、GitHub Advanced Security(GHAS)にハードな予算上限を設定できる機能を追加したと発表しました。これまでは通知のみのソフト予算でしたが、上限に達すると新たなライセンス消費がブロックされ、想定外の支出を確実に止められるようになります。