GitHub公式が内部リポジトリへの不正アクセスを認め、暗号資産業界が警戒、開発者は批判：GitHubはもはや信頼できない、毎日何かが壊れている

📄原文全文· trafilatura により自動抽出Gemini 翻譯2288 文字

GitHubは今朝、内部リポジトリへの不正アクセスを正式に認めましたが、現時点で顧客データ漏洩の証拠はないと強調しています。しかしセキュリティコミュニティは警告しています:GitHubのインフラが侵害された場合、その影響は単一リポジトリの漏洩よりはるかに深刻になると。 (前回の記事:ザリガニOpenClawが「ハッカーのATM」として話題に!公式サイトがピクセル単位で複製されWeb3ウォレットを略奪) (背景補足:Github上のオープンソースBotにご注意を!SlowMistのCos氏:無料オープンソースbotにバックドアが仕込まれSolana秘密鍵を窃取) GitHubは台湾時間本日(20日)早朝、公式Xアカウント(@github)を通じて声明を発表し、内部リポジトリへの不正アクセスを正式に認め、現在調査を進めていることを明らかにしました。 We are investigating unauthorized access to GitHub's internal repositories. While we currently have no evidence of impact to customer information stored outside of GitHub's internal repositories (such as our customers' enterprises, organizations, and repositories), we are closely… — GitHub (@github) May 19, 2026 GitHubは公告の中で次のように強調しています:「現時点でGitHubの内部リポジトリ外に保存されている顧客情報(エンタープライズアカウント、組織、ユーザーリポジトリを含む)への影響を示す証拠はない」とし、後続の動きを防ぐためインフラを綿密に監視しており、いかなる影響が発見された場合も既存のインシデント対応チャネルを通じて顧客に通知すると表明しました。今回のGitHub自身の内部リポジトリ被害は孤立した事件ではなく、最近連続して発生している攻撃の最新の一環です。 5月16日、監視プラットフォームGrafana LabsはGitHub Token漏洩事件に遭遇したことを公に確認しました:攻撃者はTokenを取得した後、完全なコードベースをダウンロードし身代金要求を行いましたが、Grafanaは支払いを拒否しました。 5月14日には、さらに衝撃的な事例が浮上しました:米サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の内部GitHubリポジトリ「Private-CISA」が丸6ヶ月にわたって外部に公開されており、その中には844 MBの平文パスワード、AWS Token、Entra ID SAML認証情報が含まれていました。米国最高のサイバー防衛機関ですらGitHubの設定ミスで足を取られたわけで、The Registerはその一部のファイル名を「信じられないほど露骨」と評しました。同月、ID セキュリティ企業SailPointのGitHubリポジトリも侵入を受け、SecurityAffairsはこの事件が攻撃者の矛先が大量の認証情報を管理するセキュリティベンダー自身に向けられていることを示していると報じました。暗号通貨業者にとって、GitHubインフラが侵害された結果については、すでに血なまぐさい前例があります。 2026年3月、Palo Alto Networks傘下のUnit42は標的型サプライチェーン攻撃を明らかにしました:攻撃者の第一目標はまさにCoinbaseのオープンソースプロジェクトagentkitでした。Coinbaseが検知してブロックした後、攻撃者は陣地を移し、広く使用されているGitHub Action「tj-actions/changed-files」のハイジャックに成功、最終的に23,000のリポジトリに波及し、そのうち218で実際にsecrets漏洩が発生しました。詳細な分析はUnit42のレポートをご覧ください。同年4月から5月にかけて、「second-action」など15の人気GitHub Actionタグが改竄され、悪意あるcommitを指すよう変更されました。The Hacker Newsもこの広範囲に影響を及ぼしたタグハイジャック事件を記録しています。暗号資産ユーザーに最も直接的な打撃を与えたのはBitwarden CLI事件です:攻撃者は侵害されたGitHub Actionを通じて、Bitwarden CLI 2026.4.0バージョンに悪意あるnpmパッケージを仕込み、プログラムは能動的にMetaMask、Phantom、Solanaウォレットファイルを窃取しました。この攻撃チェーンは「CI/CDパイプライン→パッケージマネージャー→エンドユーザーウォレット」という3段階収穫経路を完全に実証しました。 GitHubの声明は「顧客リポジトリは無事」という点に焦点を当てていますが、セキュリティコミュニティの懸念はより深層の脅威を指し示しています。攻撃者がGitHub内部リポジトリ内で横方向に移動した場合、真に価値のある標的には以下が含まれます:ソフトウェア署名鍵(正規アップデートの偽造に利用可能)、CI/CDシステムの制御権(任意のタイミングで悪意あるコードを注入可能)、DependabotやGitHub Actionsの実行コンテキスト(これらのツールに依存する下流のすべてのプロジェクトを汚染可能)。エンジニア界隈で著名な評論家Gergely Orosz氏と開発者Mario Zechner氏は最近、GitHubの安定性とセキュリティの低下が続いていることを公然と批判しており、Zechner氏は次のように直言しています「GitHubはもはや信頼できるプラットフォームではない、毎日何かが壊れている」このエスカレートし続けるGitHubサプライチェーン脅威に直面し、セキュリティコミュニティは暗号プロジェクトに対し、以下4つの防御策を直ちに講じるよう推奨しています: - GitHub Actionsを完全なSHAに固定し、tagやbranch名は使用しない。タグハイジャックを防ぐため - Secretsはenvironmentで分離し、最小権限原則と組み合わせ、単一Token漏洩による全線崩壊を回避 - Push ProtectionとGitHub Advanced Security(GHAS)を有効化し、プッシュ段階で誤ってアップロードされた認証情報を遮断 - 開発機とproduction署名鍵を物理的に分離し、CI環境が侵害されても正規版署名を偽造できないようにする GitHubは調査が継続中であり、既存のインシデント対応チャネルを通じて後続の通知を発表すると表明しました。デプロイパイプライン全体をGitHubインフラ上に構築している暗号プロジェクトにとって、この事件の最終的な影響範囲は、GitHubが内部フォレンジックを完了するまで本当には評価できません。

データステータス✓ 全文抽出済み原文を読む（動區 BlockTempo）

🔍過去の類似イベント· キーワード + 銘柄照合3 件

2026-05-22

Andrej Karpathy が提唱した「CLAUDE.md の4大原則」が GitHub で話題に、AI によるコーディング精度が 90% を突破

類似度 120%關鍵字 github同分類 zh

2026-05-21

GitHub、従業員が悪意のあるVSCode拡張機能を誤ってインストールしたため、3,800件の内部repoが盗まれたことを確認

類似度 120%關鍵字 github同分類 zh

2026-05-01

GitHub Copilotの有料化が暴いた、AI業界の「最大の嘘」

類似度 120%關鍵字 github同分類 zh

💡 現在はキーワード + 銘柄照合（MVP）を使用しています · 今後 embedding セマンティック検索へアップグレード予定