主なポイント
- 汚染されたVisual Studio Code拡張機能により、わずか18分間の攻撃でGitHubの内部コードリポジトリ3,800件がハッカーに盗まれました。
- この侵害は、マイクロソフトのAIチームへの統合以来続くリーダーシップの欠如や頻繁なサービス停止を含む、より広範な危機の一環です。
- 脅威アクター「TeamPCP」は、資格情報窃取プログラムを使用してGitHubを攻撃しました。OpenAIやGrafana Labsもこの一連の攻撃の被害者であることが確認されています。
戻る
GitHubが危機に直面:ハッカーにより3,800件の内部リポジトリが流出
巧妙なサプライチェーン攻撃によりGitHubの内部コードリポジトリ3,800件が侵害され、リーダー層の流出、度重なるサービス停止、競争上の脅威の増大に直面しているマイクロソフト傘下の開発者プラットフォームの危機が深まっています。金銭目的のハッカー集団「TeamPCP」によるこの侵害は、従業員がマイクロソフトの人気コードエディタ「Visual Studio Code」の汚染された拡張機能をインストールしたことが原因でした。
GitHubは声明で「悪意のある拡張機能バージョンを削除し、エンドポイントを隔離して直ちにインシデント対応を開始した」と述べ、重要なシークレット情報が更新されたことを確認しました。同社のチーフ・セキュリティー・オフィサー(CSO)であるアレクシス・ウェールズ氏は、攻撃ベクトルがNx Console拡張機能の悪意のあるバージョン(v18.95.0)であったことを後に認めました。これは5月18日に公式マーケットプレイスでわずか18分間公開されたものですが、その短い時間にもかかわらず、自動更新によって6,000人以上のユーザーに悪意のあるパッケージが配信された可能性があります。
CVE-2026-48027の識別子が割り当てられたこの攻撃には、隠しパッケージから取得された「SANDCLOCK」として知られる資格情報窃取ペイロードが含まれていました。攻撃者の最初の侵入口は、5月11日に行われたオープンソース開発ツール「TanStack」への先行する侵害で、これによりNx Console開発者のGitHub資格情報が盗まれました。TeamPCPは当初、盗んだ3,800のリポジトリを5万ドルで販売していましたが、後にハッカー集団「Lapsus$」と提携したと見られ、価格を9.5万ドルに引き上げました。
このセキュリティー侵害は、昨年トーマス・ドムケ前CEOが退任して以来続く内部混乱に拍車をかけています。マイクロソフトは後継者を任命せず、GitHubを元Meta幹部のジェイ・パリク氏が率いるCoreAIチームに統合することを決定しました。この動きに伴い、マイクロソフトで34年の経歴を持つベテランのジュリア・リューソン氏や、最高収益責任者(CRO)のエリザベス・ペメル氏ら上級リーダーが相次いで離職しました。不安定な運営と頻繁なサービス停止により、開発者からはプラットフォームの信頼性を公然と疑問視する声が上がっており、一部の著名なプロジェクトは撤退を表明しています。
拡大するサプライチェーンの脅威
GitHubのインシデントは、ソフトウェア開発エコシステムを標的にTeamPCP(Googleの脅威インテリジェンス・グループはUNC6780として追跡)が数ヶ月にわたって展開してきたキャンペーンの中で、最も顕著な結果です。このグループの手法は自己増殖的なサイクルです。まず、人気の開発ツールを侵害して資格情報を盗み、その資格情報を使用して他のツールの悪意のあるバージョンを公開し、アクセス権を拡大させていきます。
Grafana Labsは、同じTanStackへの初期攻撃を通じて侵害されたことを確認し、5月16日に身代金の要求を受けましたが、支払いを拒否しました。OpenAIの従業員デバイス2台とMistral AIの特定のリポジトリも、同じ攻撃の波で侵害されました。
BeyondTrust Corp.のチーフ・セキュリティー・アドバイザーであるモリー・ハーバー氏はメールで、「開発者のワークステーションは現在、ドメインコントローラーと同等の戦略的価値を持っている。ソースコードリポジトリ、シークレット、SSHキー、クラウド資格情報、署名証明書、デプロイパイプラインへのアクセスは、たった一つの侵害されたエンドポイントを連鎖的なサプライチェーン・インシデントに変えてしまう」と指摘しました。
マイクロソフトの戦略的課題
GitHubは、顧客のコードは影響を受けていないと主張していますが、自社プラットフォームのコードが侵害されたことで、攻撃者にアーキテクチャの洞察を与え、将来のゼロデイ脆弱性攻撃を可能にする恐れがあります。この事件は、2018年にGitHubを75億ドルで買収したマイクロソフトが直面している戦略的課題を浮き彫りにしています。このプラットフォームは単なる製品ではなく、マイクロソフトと開発者コミュニティーの関係の礎石だからです。
この危機は、GitHubのAI支援ツール「Copilot」が、CursorやClaude Codeといった競合他社に対して先行者利益を失いつつある中で発生しました。内部情報によると、ジェイ・パリク氏は同僚に対し、GitHubが「深刻な脅威」に直面していると警告したとのことです。セキュリティーの失敗、不安定な運用、そして方向性の喪失感が重なることで、GitHubの最も重要な資産である開発者からの信頼が損なわれるリスクがあり、競合他社が市場を再編する隙を与えています。
この記事は情報提供のみを目的としており、投資助言を構成するものではありません。
