CISA、政府契約業者が GitHub に AWS GovCloud 認証情報を流出させたと発表──権限設定の無効化が原因
GitHub のシークレット検知機能を意図的に無効化した状態で、高権限の AWS GovCloud キーや内部システムへの平文パスワードが約半年間公開されていた。
リリース: 2026-05-18 · 読了 3 分何が起きた
CISA の契約業者である Nightwing の従業員が 2025年11月13日に作成したリポジトリで認証情報を公開
GitHub のシークレット検知機能を管理者が手動で無効化していたことを GitGuardian が特定
流出した情報には AWS GovCloud の管理者権限キー 3 種や、内部開発環境「LZ-DSO」への平文パスワードが含まれる
GitHub アカウント削除後も AWS のキーが 48 時間有効な状態であったことを外部研究者が確認
なぜ重要
GitHub のシークレット検知を「開発の邪魔」として無効化する運用は、単なるヒューマンエラーではなく組織的なガバナンスの欠如を示唆する。
開発環境(DevSecOps)の認証情報が流出すると、ソフトウェアのビルドパイプラインにバックドアを仕込まれるリスクがあり、サプライチェーン攻撃の標的として極めて危険。
👁️ 開発者
GitHub のシークレットスキャン機能を無効化する権限を開発者に与えている組織は、即時に全リポジトリの権限設定を見直し、強制的にスキャンを有効化するポリシーへ移行する必要がある。
🇯🇵 日本
国内の政府系システムや重要インフラを扱うベンダー(特に中堅以上のSIer)は、開発者が個人のGitHubアカウントを業務の「作業用スクラッチパッド」として利用することを禁止する物理的なネットワーク制御と監視を強化すべきである。