GitHubにおいて、悪意あるVS Code拡張機能を介して約3,800件の内部リポジトリが流出するセキュリティ侵害が発生しました。これを受けて、大手暗号資産取引所Binanceの創設者であるChangpeng Zhao(通称CZ)氏は、暗号資産開発者に対し、コード内やプライベートリポジトリに保存されているAPIキーを即座に変更するよう警告しています。現時点でGitHubは、一般顧客のリポジトリやデータへの影響は確認されていないとしていますが、Web3業界におけるセキュリティリスクへの警戒が高まっています。
CZ氏が暗号資産開発者にAPIキーの即時変更を要請
Binanceの創設者であるCZ氏は、暗号資産開発者に対し、コード内、あるいはプライベートリポジトリであっても、APIキーを保存している場合は今すぐダブルチェックして変更(ローテーション)すべきだと強く促しました。
暗号資産分野において、APIキーが露出することは、取引アカウントの不正操作や資金流出などの深刻なハッキング被害に直接つながるリスクがあるとされています。CZ氏は、近年の暗号資産市場におけるハッキング被害の増加を踏まえ、開発者が自らのプロジェクトや資産を守るための自己防衛策として、この警告を行っています。
GitHubの内部リポジトリ3,800件が流出、VS Code拡張機能が起点に
今回の警告の背景には、大手コード管理プラットフォームであるGitHubで発生したセキュリティ侵害があります。
GitHubの発表によると、同社従業員のデバイスが、悪意あるコードが仕込まれたVisual Studio Code(VS Code:マイクロソフトが提供するコードエディタ)の拡張機能によって侵害されました。この侵害により、攻撃者はGitHubの内部システムにアクセスし、約3,800件の内部リポジトリを流出させたとされています。
この攻撃は、脅威グループとされるTeamPCPによるものと報告されており、同グループは盗み出したデータをサイバー犯罪フォーラムで販売しようとしているとされています。
顧客データへの影響とGitHubによる対応状況
GitHubは初期調査の結果として、流出したのは同社の内部リポジトリのみであり、一般顧客、企業、組織のリポジトリやユーザーデータへの影響を示す証拠は現時点で確認されていないと説明しています。
同社は、従業員のデバイスにおける侵害を検知した後、直ちに該当デバイスを隔離し、悪意ある拡張機能を削除するなどのインシデント対応を開始しました。また、リスクを軽減するため、影響度が大きいものから順に、重要な認証情報やシークレットキーの変更を急ピッチで進めているとしています。
GitHubは今後もログの分析や監視を継続し、調査が完了し次第、詳細な報告書を公開する予定です。
ポイント
- GitHubにおいて、悪意あるVS Code拡張機能を経由して従業員のデバイスが侵害され、約3,800件の内部リポジトリが流出しました。
- これを受け、Binance創設者のCZ氏は、暗号資産開発者に対し、プライベートリポジトリも含めてコード内のAPIキーを即座に変更するよう警告しました。
- 暗号資産業界では、APIキーの露出が資金流出や不正取引に直結するため、開発者による迅速なセキュリティ確認が求められています。
- GitHubは、一般顧客や企業のリポジトリへの影響は現時点で確認されていないとしており、重要な認証情報の変更などの対応を進めています。