Aqua Securityは6月21日(現地時間)、「GitHub Dataset Research Reveals Millions Potentially Vulnerable to RepoJacking」において、GitHubの数百万ものリポジトリが「リポジャッキング」に対して潜在的に脆弱であると報じた。

  • GitHub Dataset Research Reveals Millions Potentially Vulnerable to RepoJacking

    GitHub Dataset Research Reveals Millions Potentially Vulnerable to RepoJacking

GitHubにはもう何年にもわたってリポジャッキング(RepoJacking)と呼ばれるサイバー攻撃に対して脆弱であることが知られている。リポジャッキングとは、オーナーやメンテナのアカウントでホストされているリポジトリを悪意のある第三者が強制的に奪うこと。

GitHubはリポジャッキングをブロックする取り組みを進めているものの、その保護にはまだ問題があると指摘されておりサイバー攻撃者によって回避され悪用されるリスクがあると指摘されている。

Aqua Securityはghtorrent.orgにホストされているデータを分析した結果、36,983のリポジトリがリポジャッキングに対して脆弱だったことがわかったと説明。これは2.95%の成功率であり、この成功率をGitHubに適用した場合は、GitHubの数百万のリポジトリがリポジャッキングに対して脆弱であると分析している。また、これはリポジャッキングの影響を受ける一部を明らかにしただけであり、潜在的により多くの組織がリポジャッキングの影響を受ける可能性がある点に注意が必要だと説明している。

Aqua Securityはリポジャッキングの影響を回避する方法として、次の対策を挙げている。

  • GitHubリポジトリ以外からリソースをダウンロードするリンクを定期的にチェックする
  • 組織名を変更する場合には、こうしたサイバー攻撃に悪用されることを避けるためにプレースホルダーとして以前の名前を保持していることを確認する

GitHubのリポジャッキング攻撃はサプライチェーン攻撃の一種と考えられている。ユーザーや組織が名称を変更した場合、ソフトウェアの依存関係が狂わないように古い名称から新しい名称に対してリンクが作成される。しかし、古い名称を乗っ取ることは可能であり、乗っ取り後には攻撃者によって細工されたソフトウェアをダウンロードしてしまうリスクがある。