GitHubは、公開リポジトリへの全てのプッシュに対してデフォルトでシークレットスキャンプッシュ保護を有効にすると発表した。この機能は、公開リポジトリへのプッシュ時にサポートされる秘密が検出された場合、コミットからその秘密を削除するか、または秘密が安全であると判断した場合にブロックを回避するオプションを提供する。プッシュ保護は2023年8月にオプトイン機能として初めて導入され、2022年4月からテストが行われていた。一般公開は2023年5月であった。
シークレットスキャン機能は、180以上のサービスプロバイダーからの200以上のトークンタイプとパターンを特定し、悪意のあるアクターによる不正使用を防ぐよう設計されている。この開発は、Microsoftの子会社であるGitHubが、Amazon Web Services (AWS)、Microsoft、Google、Slackなどの人気サービスの有効性チェックを含むシークレットスキャンを拡張してから約5ヶ月後に行われた。
また、GitHubをターゲットとした継続中の「リポジトリ混乱」攻撃が発見された。これは、開発者のデバイスからパスワードや暗号通貨を盗むことができる難読化されたマルウェアを含む数千のリポジトリでソースコードホスティングプラットフォームを氾濫させるものである。これらの攻撃は、PhylumとTrend Microによって昨年公開された同じマルウェア配布キャンペーンの別の波であり、クローン化されたトロイの木馬化されたリポジトリにホストされた偽のPythonパッケージを利用して、BlackCap Grabberと呼ばれるスティーラーマルウェアを配布している。Apiiroによる今週の報告書では、「リポジトリ混乱攻撃は単に人間が誤って実際のものではなく悪意のあるバージョンを選択することに依存しており、時には社会工学的手法を用いることもある」と述べられている。
【ニュース解説】
GitHubが公開リポジトリに対するプッシュ時にデフォルトでシークレットスキャンのプッシュ保護を有効にすると発表しました。この機能は、公開リポジトリへのプッシュに含まれるサポートされる秘密(例えばAPIキーなど)が検出された場合、その秘密をコミットから削除するか、秘密が安全であると判断した場合にはブロックを回避するオプションを提供します。このシステムは、180以上のサービスプロバイダーからの200以上のトークンタイプとパターンを特定することができ、悪意のあるアクターによる不正使用を防ぐことを目的としています。
この機能の導入は、開発者のセキュリティ意識を高め、誤って公開リポジトリに秘密情報をプッシュするリスクを減少させることに寄与します。また、GitHubが直面している「リポジトリ混乱」攻撃などのセキュリティ脅威に対する防御策の一環としても機能します。この攻撃は、開発者が誤って悪意のあるバージョンのリポジトリを選択してしまうことを利用し、パスワードや暗号通貨を盗むマルウェアを配布するものです。
この技術によって、開発者は自身のコードが外部の悪意ある利用から保護されるという安心感を持つことができます。しかし、システムが全ての秘密情報を完全に検出できるわけではないため、開発者自身もセキュリティに対する意識を持ち続ける必要があります。また、このような自動化された保護機能が誤検知を起こす可能性もあり、その場合には開発プロセスが遅延するリスクも考慮する必要があります。
長期的に見れば、このようなセキュリティ機能の強化は、ソフトウェア開発のセキュリティ基準を高め、より安全な開発環境を提供することに貢献します。しかし、新たなセキュリティ対策の導入には、開発者や企業がこれらのツールを適切に理解し、活用するための教育やトレーニングが伴う必要があります。また、セキュリティ対策の進化に伴い、悪意あるアクターも新たな攻撃手法を開発するため、セキュリティは常に進化し続ける分野であることを忘れてはなりません。
from GitHub Rolls Out Default Secret Scanning Push Protection for Public Repositories.
