CISA の最新の GitHub 漏洩から学んだ教訓 – セキュリティに関するクレブス
で サイバーセキュリティ・インフラセキュリティ庁 (CISA) 最近公開された致命的なデータ漏洩について、請負業者が KrebsOnSecurity に通知されるまでのほぼ 6 か月にわたって、AWS Govcloud キーを含む数十の内部 CISA 認証情報をパブリック GitHub リポジトリに公開しました。専門家らは、政府機関の初期対応で明らかになったギャップは、すべてのセキュリティグループが学ぶべき重要な教訓を提供していると述べている。

2026年5月15日 警備会社 GitGuardian CISA に関連する 844 MB の機密データを含む「Private CISA」という名前のパブリック GitHub リポジトリの存在を CISA に通知するための支援を要請しました。 「重要AWStokens」という名前の漏洩ファイルの1つに、3つのAmazon AWS GovCloudサーバーの管理情報が含まれていました。別のファイル「AWS-Workspace-Firefox-Passwords.csv」には、数十の内部 CISA システムのユーザー名とプレーンテキストのパスワードがリストされていました。
CISA は私たちの最初の警告をすぐに認めましたが、GitHub リポジトリで公開された AWS キーやその他の多くの重要な秘密を無効にするまでに 48 時間以上かかりました。 CISAは漏洩に関する報告書の中で、同局のシステムと連邦および業界パートナーとのやり取りが複雑なため、鍵のローテーションに予想よりも時間がかかる原因になったと述べた。
「この経験に基づいて、CISAは他の企業に対し、十分にテストされた成熟した主要な機能を維持するよう奨励している」と報告書は述べている。
CISA はまた、外部からのセキュリティインシデント通知への対応に関しては、より良い対応ができる可能性があることを認めた。事後分析では、組織自体に影響を与えるインシデントをその製品や顧客に関係するインシデントとは異なる方法で処理するには、明確かつ具体的な報告チャネルが不可欠であると強調しています。
「CISAの場合、これらのチャネルは明確に定義されていないため、セキュリティ研究者は請負業者に電子メールで送信したり、CISAの脆弱性開示プラットフォーム(広範なサイバーセキュリティコミュニティに影響を与える脆弱性を対象に設計されている)を通じて提出したり、最終的には記者が書いた分析を利用したりするなど、さまざまな手段を試す必要がある。 プレストン・ワーンツ そして ブラッド・リビーそれぞれCISAの最高情報責任者代理と最高情報セキュリティ責任者代理。
CISAは、研究者がより簡単かつ迅速に報告できるよう、報告チャネルを改善していると述べた。 「さらに、多くの研究者がsecurity.txtファイルに依存している一方で、組織は報告ガイドラインを目立つ場所に掲載することで明確さを提供できる」とCISAの著者らは書いている。
ギョーム・ヴァラドンCISA の認証情報の漏洩について最初に KrebsOnSecurity に連絡した GitGuardian の研究者は、CISA は 5 月 15 日の警告以前に、認証情報の漏洩に関する 9 件の自動アラートを無視していたと述べました。 Valadon の会社は継続的に GitHub などにパブリック コードをリポジトリし、機密情報を公開しています。
ヴァラドン氏はCISAの報告書の分析で、「9回の通知漏れにより、1日の出来事が6か月にわたる影響に発展する可能性がある」と述べた。 「製品だけでなく、あなた自身についてのリーク レポートを作成してください。リークを報告している人は脅威ではありません。security.txt を投稿しますが、それだけで終わらないでください。いくつかの目立つ場所に報告手順を投稿し、インフラストラクチャ レポートが製品のバグ キューに入れられないようにしてください。」
報告書の執筆者らはまた、GitHubなどのパブリックコードリポジトリを継続的にスキャンして機密情報が漏洩していないかを継続的にスキャンする重要性を強調し、CISAはその後、すべての機密情報を置き換え、開発者の機密情報の管理を改善し、将来的にはより適切に管理するための行動計画を策定したと述べた。
報告書では、CISAはサイバーセキュリティインシデントに対応するためのハンドブックを開発したが、そのハンドブックにはGitHubやその他のクラウドサービスが関係する状況で何をすべきかは含まれていないと指摘している。ヴァラドン氏は、この報告書は、四半期ベースだけでなく、暴露された機密をスキャンする必要性を裏付けていると述べた。
「CISAのプライベートリポジトリは6か月間公開されている」とValadon氏は書いた。 「パブリック GitHub の継続的な監視が機能しました。包括的な内部スキャンにより、平文のパスワードを捕捉し、パスワードが敷地外に出るずっと前にコピーできる可能性があります。」
CISAは、セキュリティ対策のいくつかの分野を評価し、ログ機能の強化や実稼働および開発システムでのゼロトラスト原則の採用など、機密漏えいの範囲と影響を同局が判断するのに役立ったと述べた。 CISAは、これらの詳細なレポートにより、顧客情報やミッション情報が漏洩しておらず、漏洩した資格情報がCISA環境外で使用されていないことを証明できると述べた。同庁は、機密を漏洩した請負業者がシステムへのアクセスを取り消したと発表した。
ヴァラドン氏は、最大の課題は死後のCISAそのものだと考えており、CISAが何をしたか、何をしなかったかについて透明性を保っていることを称賛した。
「私の知る限り、国家サイバーセキュリティ機関がプライバシースキャンとセキュリティ研究者とのやり取りの簡素化を公に提唱したのはこれが初めてだ」とヴァラドン氏は書いた。 「これはまさに、あらゆる組織に期待すべきイベントコミュニケーションです。」