拡張機能が開発者のマシン上の全てにアクセス　GitHubを揺るがしたサプライチェーン攻撃

顧客データへの影響はないとするが、ユーザーは納得せず

　GitHubは5月20日、公式Xアカウントへの投稿で侵害の発生を認め、「この活動はGitHubの内部リポジトリからのデータ流出のみに関与」し、「攻撃者が主張する約3800件のリポジトリは、調査と方向性において一致している」と説明した。TeamPCPという名前には触れていない。

　同時に「私たちは迅速に行動してリスクを低減」したと述べ、「顧客自身のエンタープライズ、組織、リポジトリなど、GitHub内部リポジトリ外に保存された顧客情報への影響を示す証拠はない」と強調した。

　攻撃者の名指しを避けて技術的な封じ込めと顧客への影響の説明に徹する――。危機対応として計算された沈黙とみることもできるが、ユーザーは納得にはほど遠い状態だった。

　X上では、「『内部リポジトリ』とはGitHub自身のプライベートリポジトリのことか、それとも顧客のプライベートリポジトリも含むのか」「GitHubが3800個の内部リポジトリを持っているということ自体、驚きだ」など「内部」の定義の曖昧さを指摘する声が目立った。

　さらにアクセス権についての批判も上がった。エンジニアのLehnert氏は「なぜ社員が最初から実際の業務に必要なものだけでなく、約3800のリポジトリにアクセス権を持っていたのか。最小権限のアクセス制御があれば、この規模のデータ流出は防げたはずだ」と態勢に疑問を投げかけた。

　攻撃自体が新しいタイプのものであることもセキュリティ関係者の懸念を呼んでいる。Phoenix Securityの分析によると、悪意ある拡張機能にはCVE（共通脆弱性識別子）が割り当てられず、既存のSCA（ソフトウェア構成分析）ツールやEDR（エンドポイント検出・応答）ツールでは見落とされやすい。「ゼロCVEの死角」であることが、防御をいっそう困難にしている。

　Eriksen氏はこう総括した。「VS Code拡張機能が開発者のマシン上の全てにアクセスできるという事実が、なぜこれほど深刻なのかを今回の事件は示した」

　GitHubは調査完了後に詳細な報告書を公開すると約束している。