最近、インターネット上でシークレットが公開されるのは、もはやあらゆる組織で見られる現象となっています。それは米国政府機関でさえ例外ではありません。 **GitGuardian**の研究者である**Guillaume Valadon**氏は、**サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）**に属する公開GitHubリポジトリを発見し、その中に平文のパスワード、認証トークン、その他のシークレットを含む844MBの機密データが含まれていたことを明らかにしました。このリポジトリは「Private-CISA」と名付けられていましたが、2025年11月13日からオンラインで一般公開されていました。 **Valadon**氏は、[ブログ記事](https://blog.gitguardian.com/how-we-got-a-cisa-github-leak-taken-down-in-26-hours/)で、**GitGuardian**のPublic Monitoringが前日にリポジトリをフラグ付けした後、5月14日にこの流出リポジトリを最初に発見したと述べています。Public Monitoringは、**GitHub**のような公開ソースを継続的にスキャンしてリークされたシークレットを探しています。内容を確認した際、彼はリポジトリのコンテンツが「あまりにも良すぎて信じられない」と思えたため、最初はいたずらだと疑いました。 しかし、残念ながらリポジトリは本物であり、含まれていたシークレットも同様でした。**CISA**のこの失態は、組織がシークレットの拡散を抑制できず、インターネット上に機密データセットを誤って公開してしまうという不幸な傾向の最新の例です。このようなデータは、熱心な脅威アクターがすぐに収集できる状態にあります。 関連記事：[Interpol's 'Operation Ramz' Pioneers Cross-Region Collabs in Middle East](https://www.darkreading.com/cybersecurity-operations/interpol-operation-ramz-cross-region-middle-east) ## 攻撃者は「クラウドインフラストラクチャの詳細なビュー」を取得 **Valadon**氏は、このリポジトリ内に「Important AWS Tokens.txt」や「ENTRA ID - SAML Certificates/」といった目を引くディレクトリ名やファイル名が含まれていることを発見しました。実際、リポジトリにはこれらのトークンや**SAML**証明書だけでなく、平文のパスワード、秘密鍵、その他の認証情報も含まれており、その一部はまだ有効でした。 さらに、リポジトリにはCI/CDビルドログ、デプロイメントワークフローのドキュメント、**Kubernetes**マニフェスト、**GitHub Actions**ワークフロー、**GitHub**組織の自動化、そしてユーザーアカウント、IDおよびアクセス管理（IAM）データ、サービスアカウント、シークレット管理パスなどの**AWS**データが多数格納されていました。 **Valadon**氏は、「公開された資料は、クラウドインフラストラクチャ、デプロイメントワークフロー、ソフトウェアサプライチェーンツール、および内部運用プラクティスに関する詳細なビューを提供しました」と述べています。 **Dark Reading**は**CISA**にコメントを求めましたが、記事執筆時点では同庁からの回答はありませんでした。 リポジトリがオンラインになっていた6ヶ月間に、これらのシークレットがアクセスされたかどうかは不明です。調査によると、攻撃者は**GitHub**リポジトリのようなクラウド資産を監視しており、データがオンラインになった数分以内に流出に飛びつくことができることが示されています。 **Valadon**氏は**Dark Reading**に対し、「権威ある回答を得るには**GitHub**の協力が必要となるでしょう」と述べています。外部からのリポジトリの表示には限りがあるためです。 「外部から見える範囲では、公開されている**GitHub**のイベントに基づくと、リポジトリがフォークされた形跡はありません。これは弱いながらも、広く流通しなかったことを示す確かな兆候です」と彼は言います。「外部からクローンを観測することはできないため、個人がコピーをダウンロードした可能性を排除することはできませんが、それは推測であり、確認ではありません。」 関連記事：[Looking Back, Looking Forward: Digesting a Dynamic Bouillabaisse of Cyber Evolution](https://www.darkreading.com/cybersecurity-operations/looking-back-looking-forward-bouillabaisse-cyber-evolution) ## CISAの高リスクなプラクティスが流出を招く 良いニュースは、**CISA**に通知した後、同庁が24時間強でリポジトリを削除したことです。ただし、**Valadon**氏は、サイバーセキュリティジャーナリストの**Brian Krebs**氏の支援があったことを指摘しています。**Krebs**氏は同庁の担当者と連絡を取り、問題をエスカレーションさせました。 **Valadon**氏は、「**CISA**が迅速に対応したことは称賛に値します。私たちの開示のほとんどはもっと時間がかかり、中には決して修正されないものもあります」と述べています。 悪いニュースは、**CISA**の担当者が高リスクな行動をとっていたことです。「このリポジトリは、平文のパスワード、Gitにコミットされたバックアップ、そして**GitHub**のシークレットスキャンを無効にするための明示的な指示など、安全でないプラクティスのカタログでした」と彼は書いています。 **Valadon**氏は**Dark Reading**に対し、リポジトリの分析に基づくと、最も可能性の高い説明は、一部のコミットにハードコードされたシークレットが含まれており、**GitHub**のプッシュ保護機能がプッシュをブロックしていたというものです。「シークレットを削除するのではなく、誰かがコミットを通過させるためにコントロールを無効にする方法を文書化したのです」と彼は述べています。 関連記事：[AI Drives Cybersecurity Investments, Widening 'Valley of Death'](https://www.darkreading.com/cybersecurity-operations/ai-cybersecurity-investments-valley-death) **Valadon**氏は、これは成熟した組織が避けるべき悪いプラクティスであると付け加えています。代わりに、それらの組織は、そのようなセキュリティ機能を