「GitHub」から非公開リポジトリなどのデータが流出 ～「npm」にも被害

公式ブログ「The GitHub Blog」でのアナウンス

　米GitHubは4月15日（現地時間、以下同）、サードパーティのOAuthユーザートークンが盗み出され、リポジトリのコンテンツを不正にダウンロードされたことを発表した。影響を受けたアプリケーションに対しては、関連するすべてのOAuthユーザートークンを失効させ、ユーザーへ通知する措置を講じたという。

　同社が問題の発生に気づいたのは、4月12日のこと。セキュリティチームが調査を開始したところ、盗まれたOAuthユーザートークンを悪用し、「npm」を含む数十の組織からデータをダウンロードした形跡が発見されたという。このユーザートークンは、サードパーティのOAuthインテグレーターである「Heroku」と「Travis-CI」により発行されていた・

　4月15日時点で、影響を受けることが判明しているOAuthアプリケーションは以下の通り。

• Heroku Dashboard（ID: 145909）
• Heroku Dashboard（ID: 628778）
• Heroku Dashboard - Preview（ID: 313468）
• Heroku Dashboard - Classic（ID: 363831）
• Travis CI（ID: 9216）

　「npm」ではプライベートリポジトリへの不正アクセスとダウンロードがあったほか、「AWS S3」ストレージに存在する「npm」パッケージへアクセスされた可能性がある。ただし、現時点ではパッケージの改竄やアカウントデータ・資格情報への不正アクセスは確認されていない。

　「GitHub」は問題のトークンをオリジナルの使用可能な形式で保存していないため、トークンが「GitHub」のシステムに侵入して盗んだとは考えにくい。そのため、4月13日と14日に「Heroku」と「Travis-CI」に調査結果を開示し、協力を要請した。被害を受けた組織に対する通知は18日に実施済み。

　同社は「Heroku」と「Travis-CI」と密接に連携し、調査および復旧作業を支援し、顧客の保護に努めるとしている。通知のないユーザーは今回のインシデントの影響を受けないと考えられるが、念のため異常なアクティビティがないかチェックすべきだろう。