本サイトの記事や画像は、AIが公的資料や複数の報道を基に事実関係を整理・再構成し制作したものです。[続きを表示]特定の報道内容や表現を再利用・要約することを目的としたものではありません。ただし、誤りや不確定な情報が含まれる可能性がありますので、参考の一助としてご覧いただき、実際の判断は公的資料や各出典元の原文をご確認ください。[私たちの取り組み]
GitHubは日本時間2026年5月20日、公式Xアカウントを通じ、自社の内部リポジトリへの不正アクセスを調査していると公表した。従業員端末が悪性のVS Code拡張機能を通じて侵害され、その端末を足場にGitHubの内部リポジトリへ不正にアクセスされた疑いがあるというものだ。同社は、外部へ持ち出された内部リポジトリの範囲、認証情報などのシークレットへの影響、顧客のエンタープライズ、組織、リポジトリなど内部リポジトリ外に保存されている顧客情報への波及の有無を調べている。現時点では、顧客情報への影響を示す証拠はないとしている。
後続活動を監視、影響確認時は顧客へ通知
GitHubは、今回の事案に関連する後続の不審な活動がないか、インフラの監視を続けている。影響が確認された場合には、所定のインシデント対応と通知経路を通じて顧客に連絡する方針も示した。
今回GitHubが調べているのは、顧客リポジトリや顧客組織が直接侵害されたかどうかではなく、まずは社内側の開発資産に対する不正アクセスの実態である。具体的には、従業員端末の侵害がどのように起きたのか、悪性のVS Code拡張機能がどの段階で使われたのか、その後どの内部リポジトリにアクセスされ、何が外部へ持ち出された可能性があるのかが調査対象になる。
GitHubは追加説明で、外部へ持ち出された対象は現時点の評価で内部リポジトリに限られるとした。一方で、内部リポジトリに含まれるコードや設定情報、シークレットがどの程度影響を受けたかは、顧客影響の有無を判断するうえで重要になる。GitHubは重要なシークレットのローテーションを進め、関連する後続活動がないかインフラの監視も続けている。シークレットとは、システムにアクセスするための鍵やトークンなどの秘密情報を指し、ローテーションはそれらを無効化・再発行して悪用リスクを下げる対応である。
焦点は影響範囲の確定と顧客通知の有無
初報で示されたのは、調査着手と暫定評価であり、侵害の正確な発生時点、初期侵入の詳細、影響を受けた内部リポジトリの内訳は明らかにされていない。流出した可能性のある情報の具体像や、顧客ワークロード、顧客シークレット、GitHub提供機能への二次的な影響の有無も最終評価には至っていない。
GitHubの追加説明では、攻撃者側が約3,800リポジトリを主張しているとされ、その規模感はこれまでの調査と大筋で整合すると説明された。ただし、これは最終的な被害件数として確定した数字ではない。主軸はあくまで、GitHubが公表した内部リポジトリへの不正アクセス調査にある。
今後の焦点は、追加公表で影響範囲がどこまで具体化されるか、顧客への個別通知が発生するか、そして内部リポジトリ外の顧客情報に影響があったかどうかの評価がどう固まるかに移る。現段階では、社内開発資産側の侵害として扱われ、顧客への直接影響は別軸で評価が続いている。
