米ソフトウェア開発基盤大手のGitHubは、外部からの不正アクセスにより内部リポジトリ情報が流出した可能性があると公表した。悪意あるVisual Studio Code拡張機能を経由した侵害が確認されており、現在も影響範囲の調査と追加対策が進められている。
VS Code拡張機能経由で内部侵害か
2026年5月20日にGitHubが報告した内容によれば、侵害の兆候を検知したのは5月19日である。
従業員端末上のVisual Studio Codeにおいて、悪意ある拡張機能を通じた不正アクセスを確認したため、封じ込め対応を実施したという。
同社は問題となった拡張機能の削除に加え、影響を受けた端末の隔離を実施した。
また、内部システムへのアクセスに関わる認証情報や重要なシークレット(※1)についても優先的に更新し、二次被害の抑止を進めている。
現時点でGitHubは、外部へ持ち出された可能性がある情報は内部リポジトリに限定されるとの見解を示している。
GitHub外部に保存されていた顧客データへの影響は確認されておらず、サービス利用者への直接的な被害も確認されていない。
同社は現在もログ分析やシークレット更新後の検証、追加侵害の監視を継続している。
調査完了後には、詳細なインシデントレポートを公開する方針だ。
なお、今回の事案との関連性は不明だが、直近では攻撃者集団「TeamPCP」がGitHub内部情報を窃取し、販売していたとの報告も出ている。
※1 シークレット:APIキーや認証トークン、パスワードなど、システムアクセスに必要な機密情報の総称。漏えいすると不正アクセスの原因となる。
開発現場の安全管理強化が加速へ
今回の事案は、GitHub単体の問題にとどまらず、ソフトウェア開発業界全体に対して警鐘を鳴らす出来事となりそうだ。
AIコード生成やクラウド開発環境の普及により、開発現場では外部拡張機能や外部サービス連携の利用が拡大している。これに伴い、開発基盤全体の攻撃対象領域も広がりつつあると言える。
一方で、この問題を契機に企業側のセキュリティ対策が高度化する可能性もある。
拡張機能の署名確認や権限監査、ゼロトラスト型(※2)のアクセス管理を強化する動きは今後さらに広がるとみられる。
特に金融や政府系システムなど、高い安全性が求められる分野では監査基準が厳格化される可能性が高い。
ただし、安全対策の強化にはコストや開発速度低下といった課題も伴うはずだ。
開発者が自由にツールを追加できなくなれば、生産性や柔軟性が損なわれる場面も出てくると考えられる。
開発者の体験を維持しながらも、どこまで拡張機能利用を制限・監査すべきかが今後の大きな論点になりそうだ。
また、内部リポジトリ流出が事実であれば、将来的な脆弱性分析や標的型攻撃へ悪用される懸念も残る。
生成AI時代においてソフトウェア開発速度は重要性を増しているが、それと同時に「安全な開発基盤をどう維持するか」が、業界全体の競争力を左右するためのテーマとなるかもしれない。
※2 ゼロトラスト型:社内外を問わず、すべてのアクセスを信用せず毎回検証を行うセキュリティモデル。クラウド利用拡大に伴い導入が進んでいる。
関連記事:
マネーフォワード、GitHub不正アクセスで一部情報流出か 銀行連携を一時停止
マネーフォワード、GitHub不正アクセス後の銀行口座連携を順次再開
日本政府、AIサイバー攻撃対策を協議へ Anthropic最新AIで金融網リスク浮上
