ニュース

「GitHub」から非公開リポジトリなどのデータが流出 ~「npm」にも被害

「Heroku」「Travis-CI」発行のOAuthトークンが盗難・悪用される

公式ブログ「The GitHub Blog」でのアナウンス

 米GitHubは4月15日(現地時間、以下同)、サードパーティのOAuthユーザートークンが盗み出され、リポジトリのコンテンツを不正にダウンロードされたことを発表した。影響を受けたアプリケーションに対しては、関連するすべてのOAuthユーザートークンを失効させ、ユーザーへ通知する措置を講じたという。

 同社が問題の発生に気づいたのは、4月12日のこと。セキュリティチームが調査を開始したところ、盗まれたOAuthユーザートークンを悪用し、「npm」を含む数十の組織からデータをダウンロードした形跡が発見されたという。このユーザートークンは、サードパーティのOAuthインテグレーターである「Heroku」と「Travis-CI」により発行されていた・

 4月15日時点で、影響を受けることが判明しているOAuthアプリケーションは以下の通り。

  • Heroku Dashboard(ID: 145909)
  • Heroku Dashboard(ID: 628778)
  • Heroku Dashboard - Preview(ID: 313468)
  • Heroku Dashboard - Classic(ID: 363831)
  • Travis CI(ID: 9216)

 「npm」ではプライベートリポジトリへの不正アクセスとダウンロードがあったほか、「AWS S3」ストレージに存在する「npm」パッケージへアクセスされた可能性がある。ただし、現時点ではパッケージの改竄やアカウントデータ・資格情報への不正アクセスは確認されていない。

 「GitHub」は問題のトークンをオリジナルの使用可能な形式で保存していないため、トークンが「GitHub」のシステムに侵入して盗んだとは考えにくい。そのため、4月13日と14日に「Heroku」と「Travis-CI」に調査結果を開示し、協力を要請した。被害を受けた組織に対する通知は18日に実施済み。

 同社は「Heroku」と「Travis-CI」と密接に連携し、調査および復旧作業を支援し、顧客の保護に努めるとしている。通知のないユーザーは今回のインシデントの影響を受けないと考えられるが、念のため異常なアクティビティがないかチェックすべきだろう。