GitHubを“VS Codeの人気拡張機能”が侵害 約3800件の内部リポジトリ流出:開発者は「作る人」から「狙われる人」に
GitHubは不正なVS Codeの拡張機能を従業員がインストールしたことで、GitHub社内のリポジトリデータ約3800件が流出したと発表した。相次ぐ開発環境狙いのソフトウェアサプライチェーン攻撃への打ち手を考える。
GitHubは2026年5月20日(米国時間、以下同)、第三者が公開した不正な「Visual Studio Code」(以下、VS Code)の拡張機能を経由したサイバー攻撃により、従業員端末が侵害されたと発表した。同社の従業員がVS Codeの公式マーケットプレースから不正な拡張機能をインストールした結果、侵害につながったとみられる。
同社は2026年5月18日に異常を検知し、問題の拡張機能を削除した他、対象端末を隔離して調査に着手した。現段階の調査では、流出対象はGitHub社内リポジトリに限定される見込みで、攻撃者側が窃取したと主張する約3800件のリポジトリ取得規模も、調査内容と大筋一致しているという。
220万インストールの人気拡張機能で何が起きたのか? 対策を考える
今回の侵害のきっかけになったVS Codeの拡張機能は「Nx Console」だとされている。Nx Consoleは合計220万以上インストールされている人気の拡張機能だが、バージョン18.95.0で乗っ取り被害に遭っており、認証情報窃取ツールが仕込まれていたとみられる。
同侵害を引き起こした脅威アクターについて、セキュリティメディアの「Security Affairs」は犯罪グループ「TeamPCP」によるものと報じている。TeamPCPは今回の侵害に関して犯行声明を発表しており、窃取したデータの暴露と引き換えに最低5万ドルを要求しているという。
GitHubは「顧客企業のリポジトリや組織情報など、社外用サービス領域への侵害の証拠は確認していない」と説明している。ただし、社内リポジトリにはサポート対応記録の抜粋など顧客関連情報が一部含まれており、影響判明時には既存のインシデント対応手順に沿って通知するとした。
同社は今後の被害拡大に向けた防止策として、重要度が高い認証情報から優先的に秘密情報を更新した。現在もログ解析や認証情報の更新状況の確認、インフラ監視を継続しており、必要に応じて追加対応を講じる計画だ。調査完了後には、侵害の背景や影響範囲を整理した詳細報告を公開する予定としている。
〜記者の目:ニュースをちょっと深掘り〜
開発環境の侵害を目的としたソフトウェアサプライチェーン攻撃が相次いでいる。GitHub Actionsを感染源にしてnpmの数百パッケージを侵害するマルウェアキャンペーン「Mini Shai-Hulud」が開発者コミュニティーを恐怖させてから2週間もたっていない。直近では、Grafana LabsがGitHub環境で利用していた認証トークンを第三者に窃取されて、内部コードベースの一部を流出させた。こうした流れが進むと、開発者がセキュリティを意識しないことは大きなリスクになる。
今回のGitHub侵害も、その延長線上に位置付けるべき事案だろう。攻撃者はもはや、脆弱(ぜいじゃく)なWebサーバやVPNだけを狙っているわけではない。IDE拡張、CI/CD(継続的インテグレーション/継続的デリバリー)、GitHub Actions、npm、PyPI、認証トークンなど、「開発者が日常的に触れる場所」そのものを侵害対象に変えつつある。特にVS Code拡張機能は、ローカル環境でコードを実行できる極めて強力な仕組みでありながら、多くの開発者が“便利ツール”程度の感覚で導入しているのが実態だ。
今回悪用されたNx Consoleは220万以上のインストール実績を持つ人気拡張機能だった。つまり攻撃者は「多くの開発者が疑わず導入する場所」を的確に突いていることになる。「公式マーケットプレースだから安全」「人気OSSだから安心」という従来の信頼モデルはもう通用しない。Mini Shai-Huludもそうだったが、攻撃者は正規の流通経路を乗っ取ることで、防御側の警戒心そのものを回避してくる。これは従来型アンチウイルスや境界防御だけでは対処できない。
では、開発者は何をすべきか。まず重要なのは「開発環境は本番環境と同じくらい危険」という認識を持つことだ。VS Code拡張やCLIツールは“ソフトウェア”ではなく“権限を持つ実行コード”として扱う必要がある。不要な拡張を削除し、発行元や更新履歴を確認することはもちろん、突然のメンテナー変更や不自然なアップデートにも注意したい。
この他、認証情報の保護も重要になる。開発端末に長寿命トークンを保存しない、Secretsを短命化する、GitHub認証にはFIDO2対応パスキーを利用する、といった基本対策の徹底が必要だ。ローカル端末からクラウド認証情報を奪取する攻撃は今後さらに増える可能性が高い。
今回のGitHub侵害は、開発者が「作る人」から「狙われる人」に変わった現実を象徴する事件と言えそうだ。余談だが、犯行声明を出したTeamPCPは、単純な情報窃取ではなく、データ暴露をちらつかせた恐喝型のアプローチを取っている。近年のランサムウェア攻撃と同様に“信頼”や“ブランド価値”を人質にする戦術が、開発者エコシステムにも入り込み始めている。多くの企業が身代金を支払えばこの手法が定着し、攻撃者の軸足がランサムウェアから開発環境侵害へと移る可能性もある。今後の動きに注視したい(田渕聖人)
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
macOSのキッティングは“なめるなキケン” 情シスが知るべきPC管理の本質
キッティングは今なお「単純作業」と誤解されがちですが、実際には“届いた瞬間から安全に使えるPC”を実現する裏側で、情シスはIT統制やセキュリティ、業務継続を支える高度な設計と運用を担っています。なぜその価値は見えず、評価されないのか。キッティングの本質を掘り下げます。
Claude Mythosのヤバすぎる実力を検証 脆弱性を連結して攻撃経路を生成
Cloudflareは、Anthropicの新型LLM「Claude Mythos Preview」を自社インフラで動かして検証した。同社が「単純な性能向上ではなく、脆弱性探索ツールとして別種の能力を備えた」と評価するこのAIモデルの実力を細かくみていこう。
Linuxカーネルに深刻な脆弱性 PoCでは100回から2000回の試行で悪用成功
Linuxカーネルの深部で見つかった欠陥が、想像以上に危険な波紋を広げている。一般ユーザー権限しか持たない攻撃者が、わずかな“終了処理の隙”を突くことでroot専用情報に到達可能だという。PoCも公開済みのため要注意だ。
GitHub侵害で銀行連携停止 マネーフォワード事案が突き付ける開発リスク
マネーフォワードは認証情報漏えいによるGitHubへの不正アクセスを受け、ソースコードや一部個人情報が流出したと公表した。銀行連携機能まで一時停止に追い込まれた今回の事案は、開発現場に潜む見落とされがちなリスクを浮き彫りにしている。
NIST、ついに“脆弱性の全件分析”を断念 CVE爆増でパンク状態、方針転換
NISTは、脆弱性データベース「NVD」の運用を大きく見直す。CVEの急増により従来の“全件分析”が限界に達したためだ。今後は優先度に応じた対応へと転換する。この変更は、脆弱性管理の前提そのものを揺るがす可能性がある。