GitHubの侵害は未公表の攻撃と関係があるのか

GitHub Actionで大量のリポジトリから情報が流出した。これは単独の攻撃ではなく、以前に実行された未公表の攻撃と関係があるようだ。

[David Jones，Cybersecurity Dive]

　「GitHub Action」で2万3000以上のリポジトリのセキュリティが脅かされた。これはそれ以前に起きた未公表の攻撃と関連している可能性があるという。

GitHubの侵害は未公表の攻撃と関係があるのか

　セキュリティ研究者と連邦当局によると、2025年3月11日に確認された「reviewdog/action-setup/v1」を標的とした攻撃は「CVE-2025-30154」として追跡されている脆弱（ぜいじゃく）性を悪用したものであり、別の組織に対する攻撃に関連しているという。この攻撃は、これまでに公表されていなかった。

　別の組織に対する攻撃とは「tj-actions/changed files」に関する漏えい事件で、これが今回の攻撃と関連があるとされている（注1）。サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）によると（注2）、tj-actions/changed filesに関する漏えいは「CVE-2025-30066」として追跡されている（注3）。この脆弱性は同年3月14日〜同年3月15日の間に発生し、秘密情報の漏えいにつながった。

　CISAは悪用が確認された脆弱性をまとめたKEVカタログに「CVE-2025-30066」を追加した。CISAは組織に対して、異常な活動や確認されたインシデントを24時間態勢で稼働しているオペレーションセンターに報告するよう求めた。

　サイバーセキュリティ事業を営むStep Securityによると（注4）、tj-actions/changed filesのインシデントは、メンテナーが使用していたアカウント「@tj-actions-bot」にリンクされていたパーソナルアクセストークンの侵害に端を発するという。その結果、Pythonで構築された悪質なスクリプトがRunner WorldプロセスからCI/CD（継続的インテグレーション／継続的デリバリー）のシークレットを外部に送り出した。

GitHubにおけるシークレットとは

　GitHub におけるシークレットとは、APIキーやアクセストークン、パスワードなどの機密情報を安全に管理したり、利用したりするための機能だ。これらの情報はGitHub Actionsのワークフロー内で使用されることが多く、外部サービスへの認証やデプロイ処理などにも用いられる。なお、シークレットはGitHubでは暗号化されて保存されており、設定後は内容を再確認できない。ワークフローの実行ログでは自動的にマスキングされて、誤って出力されても内容が漏えいしないように工夫されている（キーマンズネット編集部）。

　サイバーセキュリティ事業を営むEndor Labsの研究者によると、tj-actions/changed filesの漏えいに関連して約218件のリポジトリからシークレットが漏えいした（注5）。これらの秘密情報の大部分はワークフローの完了後に失効するGithub_Tokenに関連するものだ。

　セキュリティ研究者のアドナン・カーン氏が「X」に情報を投稿した後（注6）、reviewdog/action-setup/v1に関連する漏えいが発覚し、クラウドセキュリティサービスを提供するWizの研究者はv1タグが侵害されていることに気付いた（注7）。

　Wizの広報担当者によると、reviewdog/action-setup/v1のインシデントが影響を及ぼす範囲は、tj-actions/changed fileの漏えいが影響を及ぼす範囲よりもはるかに狭いという。reviewdog/action-setup/v1のインシデントは約2時間しか続かず、約1500のリポジトリに影響を与えたが、tj-actions/changed-filesに対する攻撃ではインシデントが約22時間続き、1万4000ものリポジトリに影響を与えた。

　GitHubは侵害の有無をユーザーが判断し、今後同様の攻撃を防ぐための対策を追加するために役立つガイダンスを提供した（注8）。

　GitHubのユーザーは2025年3月14日〜同年3月15日のワークフローを見直すべきだ（注9）。機密情報が漏えいしていた場合はシークレットを無効化して再発行しなければならない。

　Palo Alto Networksの研究者は「長期的なセキュリティのために、組織はパイプラインベースの厳格なアクセス制御を実装すべきだ」と述べた（注10）。

出典：GitHub Action compromise linked to previously undisclosed attack（Cybersecurity Dive）
注1：CVE-2025-30154（CVE）
注2：Supply Chain Compromise of Third-Party tj-actions/changed-files (CVE-2025-30066) and reviewdog/action-setup@v1 (CVE-2025-30154)（CISA）
注3：CVE-2025-30066（CVE）
注4：Harden-Runner detection: tj-actions/changed-files action is compromised（Step Security）
注5：Blast Radius of the tj-actions/changed-files Supply Chain Attack（Endor Labs）
注6：Adnan Khan（X）
注7：New GitHub Action supply chain attack: reviewdog/action-setup（Wiz）
注8：Security hardening for GitHub Actions（GitHub）
注9：Use this GitHub action with your project（GitHub）
注10：GitHub Actions Supply Chain Attack: A Targeted Attack on Coinbase Expanded to the Widespread tj-actions/changed-files Incident: Threat Assessment (Updated 4/2)（Palo Alto Networks Unit 42）