TOPセキュリティ > 盗まれたOAuthトークンで利用者のGitHubリポジトリに...

セキュリティ

盗まれたOAuthトークンで利用者のGitHubリポジトリに不正アクセス

2022/04/20

Jon Gold CSO

 米GitHubは4月15日、盗まれたOAuthユーザートークンを使ってGitHubのプライベートリポジトリが不正アクセスを受ける事案が発生したと明らかにした。米Salesforce傘下のPaaSベンダー米Herokuや、継続的インテグレーションサービスの独Travis CIのアプリケーションとGitHubとを連携するためのOAuthトークンが悪用されたとしている。こうしたサービスをGitHubと連携している利用者は、不正アクセスの被害に遭った可能性があるという。

Credit: iStock
Credit: iStock

 GitHubの公式ブログ記事によると、今回の不正アクセスに使われたOAuthトークンは、利用可能なトークンの形式でGitHubが保存しているものではない。したがって、GitHub本体への攻撃によって流出した可能性は低く、OAuthのフレームワークを認証に利用しているHerokuやTravis CIのアプリケーションから流出したものとみられる。

 また、今回の事案に該当するOAuthアプリケーションは2022年4月15日現在で、4つのバージョンのHeroku Dashboard(ID:145909、628778、313468、363831)と、Travis CI(ID:9216)とのことだ。

 Herokuが22年4月15日にサイトに掲載した説明によると、今回の事案については、GitHubからSalesforceのセキュリティーチームに4月13日に連絡が入った。同チームは攻撃の対象となったOAuthトークンとGitHubアカウントを直ちに無効化した。

↑ページ先頭へ