ソースコード管理プラットフォーム GitHub、公式 X アカウントが侵害──偽パッチへの誘導に注意喚起
公式 X アカウントが第三者に乗っ取られ、偽のセキュリティパッチへの誘導が確認された。開発者はリポジトリの権限設定と 2FA 状態の即時監査が求められる。
リリース: 2012-05-25 · 読了 2 分何が起きた
GitHub 公式 X アカウントが第三者による不正アクセスを受け、悪意のあるリンクを含む投稿が 1 時間以上にわたり継続した。
投稿内容は偽の「重要セキュリティアップデート」を装い、外部のフィッシングサイトへ誘導するものであった。
GitHub セキュリティチームは、現時点で GitHub.com 本体のソースコードやユーザーデータへの直接的な侵害は確認されていないと報告。
なぜ重要
公式ソースからの発信であっても、緊急性を煽るパッチ配布にはゼロトラストで臨むべきであり、組織的なインシデント対応フローの再確認が必要になる。
開発者アカウントの侵害はサプライチェーン攻撃の起点となるため、PAT や SSH 鍵の管理を個人の裁量から組織の統制下へ移す動機となる。
👁️ 開発者
GitHub を利用する開発者は、公式を装った DM や不審なメンションを無視し、自身の Personal Access Token (PAT) や SSH 鍵に身に覚えのない履歴がないか即座に監査すべきである。
🇯🇵 日本
GitHub Enterprise を運用する国内の大手製造業や金融機関の開発チームは、社内プロキシでの不審ドメイン遮断と、全エンジニアへの 2FA 強制適用状況を本日中に再点検する実務が発生する。