韓国警察庁・国家捜査本部は7月14日、GitHubへのサインインに使う個人アクセストークン(PAT)500件超が流出した事実を確認し、緊急のセキュリティ勧告を出しました。このトークンが渡ってしまうと、攻撃者はIDやパスワードを知らなくても非公開リポジトリにアクセスでき、ソースコードや企業秘密、個人情報がまとめて危険にさらされます。開発者や企業であれば、今すぐアクセス履歴を点検し、トークンを再発行しておくのが安全です。本日は今回の流出事案の概要と対応方法を整理しました。🔐

TL;DR

  • 国家捜査本部がGitHubの個人アクセストークン(PAT)500件超の流出を確認し、7月14日にセキュリティ勧告を配布しました。
  • PATはID・パスワードなしで非公開リポジトリにアクセスできる認証手段のため、流出するとソースコードや企業情報の窃取につながりえます。
  • 直近1〜3カ月のアクセス履歴を確認し、侵害の痕跡があれば既存トークンを直ちに失効・再発行するのが核心的な勧告です。

🚨 何が起きたのか?

GitHubアカウントのアクセス権限が一度に漏れ出た事案です。韓国警察庁・国家捜査本部は7月14日、GitHubへのサインインに使う個人アクセストークン(PAT)が多数流出した事実を確認し、捜査中だと明らかにしました。これまでにアクセス権限が流出したとみられるアカウントは500件ほどで、うち国籍が確認された被害アカウントは54カ国370件余り、そのなかで韓国国内のアカウントは30件ほどと伝えられています。残るアカウントの国籍はまだ確認されていません。

発端は別のサイバー犯罪捜査でした。警察が別件の被疑者が他人のGitHubトークンを所持しているのを見つけたことで流出の兆候が浮かび上がり、7月9日に流出の事実を把握しました。

🔑 個人アクセストークン(PAT)とは?

個人アクセストークンは、利用者が非公開リポジトリにアクセスしたり、コマンドラインや自動化ツールからGitHubに接続したりする際に使う認証手段です。ID・パスワードの代わりとなる鍵のようなもので、まさにこの点が今回の流出を危険なものにしています。

このトークン1行が攻撃者の手に渡ると、アカウントのIDやパスワードを知らなくてもリポジトリに不正にアクセスできます。攻撃者はリポジトリに置かれたソースコードはもちろん、コード内に書かれていた別システムの接続情報まで手に入れ、企業の主要システムへと侵入を広げられます。トークンひとつが漏れた瞬間、ソースコードや企業秘密、個人情報の窃取へ直結しうるということです。

🛡️ GitHubと警察はどう対応したか?

警察は流出を確認したのち、直ちに運営会社であるマイクロソフト(GitHub)に通知し、インターポールとも情報を共有しました。GitHub側は、流出したトークンを失効させ、該当利用者に警告するなど必要なセキュリティ措置を完了したと警察に伝えてきました。

警察は追加被害を防ぐため、国内の企業と開発者に向けてセキュリティ勧告文を配布しました。ただ、運営会社レベルの措置が終わっていても、個々の利用者の点検は別問題であり、自らアクセス履歴とトークンの状態を確認する手順が必要です。

✅ 今、何をすべきか?

最も急ぐべきはアクセス履歴の点検とトークンの再発行です。警察が勧告した内容を順に挙げます。

まず、直近1〜3カ月のあいだに不審なアクセス履歴がないか確認し、侵害の痕跡が見えたら既存の個人アクセストークンを直ちに失効させたうえで新たに発行し直す必要があります。あわせて、アクセス権限に多要素認証(MFA)を適用し、アカウントごとに権限を最小限まで絞って細分化するのがよいでしょう。ソースコード内に主要システムの接続情報(パスワード・鍵・トークンなど)をそのまま書き残さないことも基本の心得です。最後に、開発者PCのセキュリティ状態を定期的に点検し、トークンが保存された端末が先に破られる事態を防ぐ必要があります。

📝 総評

今回の事案は、ID・パスワードではなく「トークン」ひとつがアカウント全体の鍵になるという開発環境の特性がそのまま表れた事例です。流出規模が500件超、国内アカウントだけで30件ほどに及び、リポジトリ内のソースコードやそこに書かれた接続情報まで危険にさらされうる点で、軽く見てよい問題ではありません。運営会社と警察の措置がなされていても、個々のアカウントの点検は結局は利用者の役割であり、アクセス履歴の確認とトークンの再発行、多要素認証の適用を先送りにしないのがよいでしょう。

※ 本記事は情報提供を目的としたセキュリティ案内です。

出典