BleepingComputerによると、GitHubは約3,800件の内部リポジトリが侵害されたことを認めました。きっかけは、GitHub社員の1人が悪性のVS Code extensionをインストールしたことです。
VS Code extensionというのは、Microsoftのコードエディタ「VS Code」に追加する拡張機能のことです。見た目はただの便利ツールですが、実際にはかなり強い権限を持つことがあり、開発者の作業環境そのものに入り込めるのが怖いところです。
GitHubは、問題の拡張機能をVS Code Marketplaceから削除し、侵害された端末を隔離したと説明しています。会社のコメントでは、社員端末の侵害を検知して封じ込め、すぐにインシデント対応を始めたとのことです。
GitHubは今回の被害について、現時点ではGitHub内部のリポジトリに限られるとしています。つまり、少なくとも今のところは、顧客データが保存されていた別の領域には被害が及んでいないという立場です。
ただし、完全に安心とは言い切れません。なぜなら、ソースコードそのものが奪われると、そこから認証情報や内部設計、セキュリティ上のヒントが見えてしまうことがあるからです。コードは単なる「ファイル」ではなく、企業の中身そのものに近い。ここが本当に厄介です。
GitHubが正式に属性付けを発表する前に、TeamPCPと名乗るハッカーグループが、Breachedというサイバー犯罪フォーラム上で「GitHubのソースコードや、約4,000件のprivate codeにアクセスした」と主張していました。
さらに彼らは、これは単なる脅しではなく、少なくとも5万ドルで売りたいと書き込み、買い手がいなければ無料で公開するとまで言っています。
個人的には、この「売れなければ公開する」という流れは、最近の情報窃取型攻撃でよく見る、かなりイヤなパターンだと思います。昔ながらの“壊す”攻撃より、盗んで売るほうが、今はずっと効率がいいのでしょう。
今回のポイントは、攻撃の入口がVS Code extensionだったことです。
VS Code extensionは、エディタに機能を足すためのプラグインです。たとえば:
つまり、開発者にとっては超便利。でも裏を返せば、開発中のファイル、認証トークン、設定情報、社内コードなどに近い場所へ触れやすい、ということでもあります。
今回の事件は、**“便利だから入れた拡張機能”が、そのまま情報流出の入口になる**ことを改めて示しました。ここが一番の教訓だと思います。
実は、全然珍しくありません。記事でも触れられているように、過去にも悪性のVS Code extensionはたびたび見つかっています。
例としては:
つまり、拡張機能ストアは「公式だから安全」とは言い切れないわけです。ここはかなり重要で、正直ちょっと夢がない話ですが、**“マーケットにある=信頼できる”ではない**と考えたほうがいいでしょう。
開発者の端末は、普通のPCよりも“おいしい”ことが多いです。
たとえば:
要するに、1台やられると連鎖的に広がりやすいんですね。今回もまさにその構図です。端末1台の話に見えて、実際には組織の中枢に手が届いてしまう。そこが怖い。
今回のニュースは、「GitHubがやられた」というより、開発環境の信頼モデルがかなり脆いことを思い出させる事件だと思います。
開発者は日常的に、
という行動を取ります。便利さと引き換えに、攻撃者が入り込むチャンスも増える。これはもう構造的な問題です。
だからこそ、
といった基本が、地味だけど効いてくるのだと思います。
今回の件は、悪性のVS Code extensionが、巨大な開発基盤に穴を開けたという意味でかなり象徴的です。
GitHubは素早く封じ込めを進めていますが、開発ツールやパッケージの世界では、こうした“便利さを悪用する攻撃”が今後も増えるはずです。
正直、開発者向けのエコシステムは一度便利さを知ると戻れないので厄介ですが、だからこそ「どの拡張機能を信じるか」がセキュリティ上の大問題になっている、ということですね。
参考: GitHub confirms breach of 3,800 repos via malicious VSCode extension
