GitHubに広範なサプライチェーン攻撃 500以上の不正PRで認証情報取得に成功した例も

GitHub上のプロジェクトに対し、多数の不正Pull Requestが送られる事案が発生した。目的は認証情報の取得にある。AIによってサイバー攻撃がスケールする一例だとして、セキュリティ企業は警鐘を鳴らしている。

[三木泉，＠IT]

　2026年4月2日、GitHub上のさまざまなプロジェクトに対し、多数の不正Pull Request（PR）が送られるセキュリティ事案が発生した。攻撃者は単一アカウントから悪意のあるPRを26時間で475以上送り、シークレット情報の取得に成功した例もあった。

　セキュリティ企業Wiz Cloudによると、「prt-scan」と名付けられた今回のキャンペーンは単体の事案ではない。攻撃は2026年3月11日に始まった。6つのアカウントを使い分け、6回にわたって段階的に実行された。合計で500以上の不正PRが送られたという。

　大手企業から個人のホビープロジェクトまで、著名・無名のさまざまなリポジトリが攻撃対象となっている。複数の情報源によると、その中には、Svelte、Red Hat Developer Hub、AWS SageMaker Core、Palo Alto Networks pan.dev、SAP open-ux-tools、Sentry、OpenSearch、IPFS、NixOS、Jina AIが含まれているという。

セキュリティリスクの高いGitHub Actionsトリガーを悪用

　今回の攻撃ではGitHubの自動化ツール「GitHub Actions」のpull_request_targetというトリガーが悪用された。一般的なpull_requestトリガーと異なり、pull_request_targetではターゲットリポジトリへの書き込み権限やシークレットの読み取り権限を持てる。しかも、信頼できないユーザーからのPRであっても、承認なしに実行される。

　セキュリティリスクが高いため、このトリガーは権限の限定などの対策を施した上で使うことが前提となっている。実際に攻撃を受けた大部分のプロジェクトでは対策を行っており、被害はなかったという。

　今回の攻撃では、不正コードが実行されると以下を試みるようになっていた。

環境情報の収集　環境変数やGitHubトークンの窃取

偵察　APIを通じたリポジトリや組織のシークレット一覧の取得、クラウドサービスのメタデータエンドポイントへのアクセス

永続化と隠ぺい　シークレット値のログへの出力、PRコメントを通じた情報の外部送信

　今回のキャンペーンの成功率は10％未満だったとWizは報告した。だが、500件であれば最多で50件近くが成功したことになる。

AIがサプライチェーン攻撃をスケールさせる

　Wiz Cloudは、一連の攻撃にAI（人工知能）が使われたとし、次のように警鐘を鳴らしている。

　「prt-scanキャンペーンは、AIを活用した自動化が、大規模なサプライチェーン攻撃のハードルをどのように下げているかを示している。これまでは、脆弱なワークフローの特定、検知されにくい侵入ポイントの設計、異なる技術スタックへの適応には、専門知識と手動での調整が必要だった。しかし現在は低スキルレベルの攻撃者であっても、こうした作業を数百のターゲットに対し、マシンスピードで実行できるようになっている」