CISA、データ流出の封じ込めを試みる

• CISAの請負業者が公開GitHubプロフィール「Private-CISA」に内部システム数十件の平文認証情報を投稿し、GitHubの保護機能を無効化していた痕跡も残っていた
• CISAは流出を認めたが、露出期間については回答せず、リポジトリは2025年11月に作成され、個人用のスクラッチパッドのように使われていたパターンを示した
• Maggie Hassan氏やBennie Thompson氏ら議員は、重要インフラへの脅威が高まる時期に、CISAの内部セキュリティ方針、請負業者管理、セキュリティ文化に疑問を呈した
• GitGuardianの通知から1週間が過ぎても一部キーのローテーションは進行中で、TruffleHogのDylan Ayrey氏は5月20日時点でRSA秘密鍵がまだ有効だったと明らかにした
• 公開GitHubイベントフィードは防御側と攻撃側の双方が監視できるため、2026年4月末に追加された機密シークレットがすでに悪用されていたリスクが残る

CISA流出と議会の照会

• CISAの請負業者が、機関のコード開発プラットフォームに対する管理者権限を持つ状態で「Private-CISA」という公開GitHubプロフィールを作成し、そこにCISA内部システム数十件の平文認証情報が含まれていた
• コミットログには、公開リポジトリへの機密認証情報の投稿を防ぐGitHub組み込み保護機能を無効化した痕跡が残っていた
• CISAは流出を認めたが、データがどれほど長く露出していたかについては回答しなかった
• 消えたPrivate-CISAのアーカイブを検証した専門家らは、リポジトリが2025年11月に初めて作成され、整理されたプロジェクト用リポジトリというより、個人作業用のスクラッチパッドや同期手段に近い利用パターンを示していたと判断した
• CISAは書面声明で「今回の事案の結果として、機微なデータが侵害されたことを示す兆候はない」と述べた

議員らが提起したセキュリティ文化への懸念

• Sen. Maggie Hassan氏は、5月19日にCISA Acting Director Nick Andersen氏へ送った書簡で、サイバー侵害の防止を支援する機関でこのようなセキュリティ上の失敗が起きた経緯に深刻な疑問が生じると述べた
• Hassan氏は、米国の重要インフラを狙う深刻なサイバー脅威が続く中で、CISAの内部方針と手続きに対する懸念が高まったと指摘した
• 今回の事案はCISA内部の大規模な混乱の中で発生しており、CISAはTrump政権が複数部門に早期退職、バイアウト、辞職を強いた後、職員の3分の1超とほぼすべての上級幹部を失っていた
• Rep. Bennie Thompson氏は、5月19日付の書簡で、今回の事案は弱体化したセキュリティ文化、あるいはCISAの請負支援管理能力の不足を反映している可能性があると述べた
• Thompson氏と共同署名者のRep. Delia Ramirez氏は、中国、ロシア、イランのような敵対勢力が連邦ネットワークへのアクセスと持続性の確保を狙う状況で、Private-CISAリポジトリ内のファイルが情報、アクセス権、ロードマップを提供していたとみている

終わらない認証情報の失効対応

• セキュリティ企業GitGuardianがCISAにデータ流出を最初に通知してから1週間以上たっても、CISAは露出したキーやシークレットの多くを失効・ローテーションする作業を継続していた
• TruffleHogの作者であるDylan Ayrey氏は、5月20日時点でPrivate-CISAリポジトリに露出したRSA秘密鍵がまだ失効されていなかったと明らかにした
• このRSA秘密鍵は、CISAエンタープライズアカウントが所有し、CISA-IT GitHub組織にインストールされたGitHub Appへのアクセス権を付与しており、すべてのコードリポジトリに対する完全なアクセス権を持っていた
• Ayrey氏によれば、攻撃者はこの鍵を使ってCISA-IT組織の全リポジトリのソースコードとプライベートリポジトリを読み取り、悪意あるセルフホストランナーを登録してCI/CDパイプラインを乗っ取り、リポジトリのシークレットにアクセスできた
• 攻撃者は、ブランチ保護ルール、Webhook、デプロイキーを含むリポジトリ管理設定も変更できた
• KrebsOnSecurityが5月20日にCISAへAyrey氏の発見を伝えた後、CISAは当該RSA秘密鍵を失効させたようだ
• Ayrey氏は、CISAが機関の技術ポートフォリオ全体に展開された他の中核的セキュリティ技術と結びつく流出認証情報については、まだ置き換えていないと述べた
• CISAは「特定された流出認証情報がローテーションおよび失効されるよう、関係当事者とベンダーと積極的に対応・調整しており、システムセキュリティを守るため適切な措置を引き続き講じる」と回答した

公開GitHubイベントフィードの両面性

• Truffle Securityは、GitHubや複数のコードプラットフォームで露出したキーを監視し、影響を受けたアカウントに機密データ露出を通知しようとしている
• GitHubは、公開コードリポジトリのすべてのコミットと変更履歴を含むリアルタイムフィードを提供しており、この仕組みが露出の検知を可能にしている
• Ayrey氏は、サイバー犯罪者もこの公開フィードを監視しており、コードコミットに誤って投稿されたAPIキーやSSHキーを素早く狙うと述べた
• Private-CISA GitHubリポジトリには、重要なCISA GovCloudリソースに対する平文認証情報が数十件露出していた
• Ayrey氏は、サイバー犯罪組織や海外の敵対勢力もCISAのシークレット投稿を目にした可能性が高く、最も深刻な露出は2026年4月末に発生したとみられると述べた
• 「GitHubイベントを監視する誰もがこの情報を持っている可能性がある」という点が、主要なリスクとして残る

技術的統制の限界

• Risky BusinessセキュリティポッドキャストのJames Wilson氏は、GitHubでコードプロジェクトを管理する組織は、従業員がシークレットキーや認証情報の投稿防止機能を無効にできないよう上位ポリシーを設定できるとの見方を示した
• 共同司会者のAdam Boileau氏は、従業員が個人のGitHubアカウントを開設して機密性の高い独自情報を保存する行為を、どの技術で防げるのかは明確ではないと述べた
• Boileau氏は今回の事案を、技術的統制だけでは解決しにくい人間の問題だと位置づけた
• 請負業者が業務用端末と個人端末の間でコンテンツを同期するためにGitHubを使っていたのだとすれば、CISAが管理または可視化できる範囲外の行為を止めにくいという限界が浮き彫りになった
• 記事更新ではCISAの声明が追記され、Truffle Securityがリポジトリ内でもっとも機微なシークレットの一部は2025年ではなく2026年4月末に追加されたと明らかにした日付誤りが修正された