GitHub、プロジェクトページの全ドメインを「github.io」に移行：セキュリティ強化を目的に

[鈴木聖子，＠IT]

　米GitHubは4月5日、GitHubでホスティングされているデベロッパのプロジェクトページを全て、新しい専用ドメインの「github.io」に移行させると発表した。github.comを標的としたクロスドメイン攻撃を仕掛けられたり、フィッシング詐欺にgithub.comのドメインが悪用されるのを防ぐ狙いだと説明している。

　対象となるのは「ユーザー名.github.com」のようなgithubのサブドメインを使ったプロジェクトページで、今後は全トラフィックが「ユーザー名.github.io」のドメインにリダイレクトされる。ユーザー側でリンクを変更する必要はなく、IPアドレスにも変更はないという。

　一方、「github.com」のサブドメインが付かないカスタム版のドメインを使っている場合は、今回の変更の影響は受けないと説明している。

　今後github.comのドメインが使われるのは、GitHubの製品やサービスに関する公式サイトのみとなる。

　今回の変更に至った原因の1つとして、GitHubでは「ブラウザのセキュリティ問題に起因するセッション固定とCSRFの脆弱性」を挙げている。github.comのサブドメイン上でカスタマイズされたJavaScriptを含んだページがホスティングされることがあり、攻撃者がgithub.comのドメインcookieに書き込みを行ってgithub.comへのアクセスを妨害したり、ユーザーのCSRFトークンを固定させたりする恐れがあったという。

　さらに、github.comのドメインはユーザーに誤った安心感を与え、悪質なWebサイトに利用される恐れもあった。例えば攻撃者が「account-security.github.com」というページを開設してユーザーをだまし、パスワードや決済情報などを入力させる手口などが考えられるとしている。

　ただ、いずれの問題についても既知の攻撃経路はすべて回避策が取られ、アカウントがハッキングされた形跡はないとGitHubは強調している。