## CISA契約社員、GitHubで機密データを公開 連邦議会の両院の議員らは、KrebsOnSecurityの報道を受け、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）に対し説明を求めています。報道によると、CISAの契約社員が、AWS GovCloudキーやその他の多数のエージェンシーの機密情報を公開GitHubアカウントに意図的に投稿したとのことです。この調査は、CISAがまだ侵害の封じ込めと漏洩した認証情報の無効化に苦慮している中で行われています。  5月18日、KrebsOnSecurityは、エージェンシーのコード開発プラットフォームへの管理者アクセス権を持つCISAの契約社員が、「**Private-CISA**」という名前の公開GitHubプロファイルを作成し、そこに数十の内部CISAシステムへのプレーンテキスト認証情報が含まれていたと報じました。漏洩した機密情報をレビューした専門家によると、コードリポジトリのコミットログは、CISA契約社員がGitHubの組み込み保護機能を無効にし、機密認証情報を公開リポジトリに投稿できないようにしたことを示していました。 CISAはこの漏洩を認めましたが、データ漏洩の期間に関する質問には回答していません。しかし、現在無効になっているPrivate-CISAアーカイブをレビューした専門家によると、このアーカイブは元々2025年11月に作成されたもので、キュレーションされたプロジェクトリポジトリというよりは、個人オペレーターがリポジトリを作業用スクラッチパッドまたは同期メカニズムとして使用しているパターンと一致していました。 ## 議会による調査 書面での声明で、CISAは「インシデントの結果として機密データが侵害された兆候はない」と述べました。しかし、5月19日付のCISA代理長官**ニック・アンダーセン**宛ての書簡（PDF）で、**マギー・ハッサン上院議員**（民主党、ニューハンプシャー州選出）は、認証情報の漏洩は、サイバー侵害の防止を支援する責任を負うまさにそのエージェンシーで、このようなセキュリティの甘さがどのように発生しうるのかについて、深刻な疑問を提起していると述べました。 「この報道は、米国の重要インフラに対する重大なサイバーセキュリティ脅威の時期において、CISAの内部ポリシーと手順に関する深刻な懸念を引き起こします」とハッサン上院議員は書いています。  ハッサン上院議員は、このインシデントがCISA内部の主要な混乱の背景で発生したことに言及しました。トランプ政権がエージェンシーの様々な部門で早期退職、バイアウト、辞職を強行した後、CISAは従業員の3分の1以上とほぼ全てのシニアリーダーを失いました。 下院国土安全保障委員会のランキングメンバーである**ベニー・トンプソン下院議員**（民主党、ミシシッピ州選出）も、上院議員の懸念を共有しました。 「このインシデントが、セキュリティ文化の低下、あるいはCISAが契約サポートを適切に管理できないことを反映しているのではないかと懸念しています」とトンプソン議員は、サイバーセキュリティおよびインフラ保護小委員会のランキングメンバーである**デリア・ラミレス下院議員**（民主党、イリノイ州選出）と共に、CISA代理長官に宛てた5月19日付の書簡で述べています。「中国、ロシア、イランのような我々の敵が、連邦ネットワークへのアクセスと永続性を獲得しようとしていることは周知の事実です。『Private-CISA』リポジトリに含まれていたファイルは、まさにそれを行うための情報、アクセス、およびロードマップを提供しました。」 ## 残る脆弱性 KrebsOnSecurityは、セキュリティ企業**GitGuardian**が最初にデータ漏洩についてCISAに通知してから1週間以上経過しても、同エージェンシーが漏洩した多くのキーとシークレットの無効化と交換に取り組んでいることを知りました。 5月20日、KrebsOnSecurityは、GitHubやその他の公開プラットフォームでホストされているコードに埋め込まれたプライベートキーやその他のシークレットを発見するためのオープンソースツールである**TruffleHog**の作成者、**ディラン・エイリー**氏から話を聞きました。エイリー氏によると、CISAはまだPrivate-CISAリポジトリで漏洩したRSAプライベートキーを無効化しておらず、このキーはCISAエンタープライズアカウントが所有し、CISA-IT GitHub組織にインストールされ、全てのコードリポジトリへの完全なアクセス権を持つGitHubアプリへのアクセスを許可していました。 「このキーを持つ攻撃者は、CISA-IT組織内の全てのプライベートリポジトリを含むソースコードを読み取ることができ、不正なセルフホストランナーを登録してCI/CDパイプラインを乗っ取り、リポジトリのシークレットにアクセスし、ブランチ保護ルール、Webhook、デプロイキーを含むリポジトリ管理者設定を変更できます」とエイリー氏はKrebsOnSecurityに語りました。CI/CDはContinuous Integration/Continuous Deliveryの略で、ソフトウェアのビルド、テスト、デプロイを自動化するために使用される一連のプラクティスを指します。 KrebsOnSecurityは5月20日にエイリー氏の発見についてCISAに通知しました。CISAは報告の受領を認めましたが、その後の問い合わせには回答していません。エイリー氏によると、CISAはこの通知の後、漏洩したRSAプライベートキーを無効化したようですが、エージェンシーのテクノロジープラットフォーム全体に展開されている他の重要なセキュリティテクノロジーに関連する漏洩した認証情報がまだローテーションされていないと指摘しました（KrebsOnSecurityは、現時点ではこれらのテクノロジーを公表していません）。 エイリー氏によると、彼の会社Truffle Securityは、GitHubやその他の多くのコードプラットフォームで漏洩したキーを監視し、影響を受けたアカウントに機密データの漏洩について通知を試みています。GitHubでは、公開コードリポジトリの全てのコミットと変更の記録を含むライブフィードを公開しているため、これは容易に行えます。しかし、サイバー犯罪者もこれらの公開フィードを監視しており、コードコミットに誤って公開されたAPIまたはSSHキーを素早く悪用することが多いと彼は述べています。  実際には、サイバー犯罪グループや外国の敵対者もこれらのCISAシークレットの公開に気づいた可能性が高く、最も悪質なものは2025年4月下旬に発生したようです、とエイリー氏は述べています。 「私たちはそのデータの流れをキーのために監視しており、それが誰のものかを特定するためのツールを持っています」と彼は言いました。「攻撃者もそのデータストリームを監視しているという証拠があります。GitHubのイベントを監視している人なら誰でも、この情報を持っている可能性があります。」 *Risky Business*セキュリティポッドキャストのエンタープライズテクノロジーエディターである**ジェームズ・ウィルソン**氏は、コードプロジェクトの管理にGitHubを使用している組織は、従業員がシークレットキーや認証情報の公開に対するGitHubの保護機能を無効にすることを防ぐトップダウンポリシーを設定できると述べました。しかし、ウィルソン氏の共同ホストである**アダム・ボワリュー**氏は、従業員が自身の個人GitHubアカウントを開設し、機密性の高い専有情報を保存するために使用することを阻止できる技術は不明であると述べました。 「結局のところ、これは技術的な管理で解決できる問題ではありません」とボワリュー氏は今週のポッドキャストで述べました。「これは人間的な問題であり、この仕事をするために契約社員を雇ったのに、彼らが自らの意思でGitHubを使用して、仕事用マシンから自宅用マシンへのコンテンツを同期することにしたのです。CISAが管理していたり、あるいは可視性を持っていたりした可能性のあるものから外れて行われていることを考えると、どのような技術的な管理を導入できるのか分かりません。」