サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）の契約社員が、最近まで、複数の特権の高いAWS GovCloudアカウントへの認証情報と多数のCISA内部システムへのアクセスを公開GitHubリポジトリで公開していました。セキュリティ専門家は、CISAが内部でソフトウェアを構築、テスト、展開する方法を詳述したファイルが含まれていたため、これを最近の政府データ漏洩の中でも最も悪質なものの一つと呼んでいます。 ### GitGuardianによる発見 5月15日、KrebsOnSecurityは、セキュリティ企業GitGuardianの研究者であるGuillaume Valadon氏から連絡を受けました。GitGuardianは、GitHubのような公開コードリポジトリを常にスキャンして公開されているシークレットを探し、潜在的な機密データ漏洩についてアカウント所有者に自動的に通知しています。Valadon氏は、リポジトリの所有者が応答せず、公開されていた情報が非常に機密性が高かったため連絡しました。  ### 「Private-CISA」リポジトリの詳細 GitHubリポジトリ「Private-CISA」には、クラウドキー、トークン、プレーンテキストパスワード、ログ、その他の機密性の高いCISA資産を含む、多数のCISA/DHS内部認証情報とファイルが含まれていました。 Valadon氏は、コミットログから、CISA管理者が、ユーザーが公開コードリポジトリにSSHキーやその他のシークレットを公開することをブロックするデフォルトのGitHub設定を無効にしていたことが示されていると指摘しました。 「CSVファイルにプレーンテキストで保存されたパスワード、Git内のバックアップ、GitHubのシークレット検出機能を無効にするための明示的なコマンド」とValadon氏は述べています。「コンテンツをさらに分析するまで、すべてが偽物だと信じていました。これは確かに私のキャリアで目にした最悪の漏洩です。明らかに個人のミスですが、内部の実践が明らかになる可能性があると考えています。」 ### 公開された認証情報と潜在的な影響 「importantAWStokens」というタイトルの1つのファイルには、3つのAmazon AWS GovCloudサーバーへの管理者認証情報が含まれていました。別のファイル「AWS-Workspace-Firefox-Passwords.csv」には、エージェンシーのセキュアコード開発環境である「LZ-DSO」（Landing Zone DevSecOps）を含む、多数のCISA内部システムに対するプレーンテキストのユーザー名とパスワードが記載されていました。 セキュリティコンサルタント会社Seralysの創設者であるPhilippe Caturegli氏は、公開された認証情報がAWS GovCloudアカウントに高レベルの権限で認証できることを確認しました。同氏はまた、リポジトリにCISAの内部「artifactory」（ソフトウェア構築に使用されるコードパッケージのリポジトリ）へのプレーンテキスト認証情報が含まれていたと指摘しました。これは、攻撃者がCISAシステムに永続的な足場を築こうとする際の主要な標的となる可能性があります。 「それは横展開するための主要な場所になるでしょう」と同氏は述べています。「一部のソフトウェアパッケージにバックドアを仕掛け、新しいものを構築するたびに、バックドアを広範囲に展開することになります。」  ### CISAの対応と調査 CISAは、報告された漏洩を認識しており、状況を調査していると述べました。「現時点では、このインシデントの結果として機密データが侵害されたという兆候はありません」とCISAの広報担当者は述べています。「私たちはチームメンバーに最高の誠実さと運用意識を求めていますが、将来の発生を防ぐための追加の安全策を実装するために取り組んでいます。」 「Private CISA」リポジトリは、政府請負業者であるNightwingの従業員によって維持されていました。Nightwingはコメントを控え、問い合わせはCISAに転送するよう指示しました。 リポジトリは2025年11月13日に作成され、契約社員のGitHubアカウントは2018年9月に遡ります。通知後まもなくGitHubアカウントはオフラインになりましたが、公開されたAWSキーはさらに48時間有効でした。 ### 寄与要因とセキュリティプラクティス CISAは現在、予算と人員が削減された状態で運営されています。現在廃止されているPrivate CISAリポジトリは、契約社員が内部リソースに対して、プラットフォーム名に現在の年を付けたような推測しやすいパスワードを使用していたことも示していました。 「CISAの契約社員が、このGitHubを職場用ラップトップと自宅用コンピューター間でファイルを同期するために使用していたのではないかと推測しています。なぜなら、2025年11月以降、このリポジトリに定期的にコミットしているからです」とCaturegli氏は述べています。「これはどの企業にとっても恥ずべき漏洩ですが、CISAであるため、さらにそうです。」