GitHub、悪意あるVS Codeエクステンション攻撃で内部リポジトリ流出か

GitHubがセキュリティインシデントを公表 2026年5月20日、世界最大のコードリポジトリおよびDevOpsプラットフォームであるGitHubが、悪意のあるVisual Studio Code（VS Code）

エクステンションを経由した攻撃を受け、内部リポジトリが流出した可能性を報告した。GitHubはX（旧Twitter）にてインシデントを公表し、その後の投稿で原因が「改ざんされたVS Codeエクステンション」であることを明らかにした。Microsoft傘下の同社は現在、「ログの分析、秘密鍵のローテーション検証、および後続活動の監視」を継続中と述べている。

GitHubの投稿では、「攻撃者の現在の主張によれば約3,800件のリポジトリ」という数字が言及されており、これは同社の調査と一致しているとされる。この数字は、Shai-Huludワームに関連するマルウェアグループTeamPCPによる投稿を指している可能性がある。TeamPCPは、GitHubの内部ソースコードを販売すると宣伝し、約4,000件のリポジトリにアクセスしたと主張している。彼らはこれを身代金ではなく、買い手が見つからなければコードを無料で公開すると脅迫している。ただし、このような主張は慎重に扱う必要がある。

攻撃の詳細と影響範囲

攻撃の具体的な手口は、悪意のあるVS Codeエクステンションを通じてGitHubの内部システムに侵入したものとみられる。VS Codeは開発者に広く使われているコードエディタであり、エクステンションはその機能を拡張するが、セキュリティ上の弱点ともなり得る。今回のケースでは、エクステンションが攻撃者の足がかりとして利用されたと推測される。 GitHubの初期評価では、顧客データは流出していないとされている。しかし、ユーザーが懸念しているのは、攻撃者が窃取した認証情報を通じて内部システムに足場を築いた場合、将来的にプライベートリポジトリが危険にさらされる可能性がある点だ。プライベートリポジトリには商用コードや認証情報が含まれていることがあり、ベストプラクティスではリポジトリに秘密情報をチェックインしないことが推奨されているが、プライベートリポジトリでは管理が甘くなる組織も存在する。

背景にあるセキュリティ課題 このインシデントは、GitHubが直面しているセキュリティ上の課題を浮き彫りにしている。昨今、npm（Node.jsパッケージマネージャ）

を狙った攻撃が急増しており、その多くはShai-Huludコードに関連している。Shai-Huludワームは2025年9月以降、314件以上のnpmパッケージに感染し、広範な損害を引き起こしている。GitHubはこの問題を認識していたにもかかわらず、攻撃を防止できなかったとされる。 さらに、先月にはWiz

ResearchがGitHub.comおよびGitHub Enterprise Server（セルフホスト版）におけるリモートコード実行の脆弱性を発見しており、研究者はこれを「驚くほど簡単に悪用できる」と指摘していた。この脆弱性はAIを活用して発見されたもので、プラットフォームのセキュリティ態勢に疑問を投げかけている。

開発者の反応と信頼低下

開発者の反応は、警戒と諦め、そして皮肉が混在している。ある開発者は「攻撃者はどのようにして十分な稼働時間の窓を見つけて侵入したのか？」と冗談を交えて批判した。これは、GitHubの安定性に関する不満を反映している。事実上、GitHubはAIボットが公開コードを大量に収集して大規模言語モデル（LLM）を訓練するために使用されることによる信頼性問題も抱えており、HashiCorp共同創業者のMitchell Hashimoto氏はGitHubを「真剣な作業の場ではなくなった」と宣言したほどだ。 別の開発者は、「ソースコードアクセスを持つ開発マシンが同時に重要なセキュリティシステムにもアクセスできる時代は終わるべきだ」と述べ、開発環境とセキュリティの分離の重要性を強調した。これらの反応は、GitHubに対する信頼が揺らいでいることを示している。

広がるサプライチェーン攻撃の脅威

今回の事件は、ソフトウェアサプライチェーン攻撃の深刻さを改めて浮き彫りにした。VS Codeエクステンションは開発ワークフローに組み込まれているため、一度悪意のあるコードが混入すれば、影響は広範囲にわたる。攻撃者は、エクステンションを中間者として利用し、内部システムへのアクセスを試みた可能性がある。 GitHubは、エクステンションマーケットプレイスのセキュリティを強化する必要に迫られている。ユーザー側では、エクステンションをインストールする際の注意喚起が求められるが、プラットフォーム提供者としての対策が不十分との批判を免れない。

今後の展開と対応

GitHubは現在、ログ分析とモニタリングを継続しており、さらなる影響の有無を調査中だ。秘密鍵のローテーションも行われており、二次被害の防止に努めている。しかし、流出したとされる内部コードが闇市場で売買される、または公開されるリスクは残っている。 TeamPCPのような攻撃グループが、窃取したコードをリークするとの脅迫を行っている場合、GitHubは対応に追われるだろう。コードの公開は、GitHub自身の知的財産のみならず、内部で使用されているツールやプロセスの詳細が外部に漏れることを意味し、さらなる攻撃を誘発する可能性がある。

セキュリティ専門家の見解 セキュリティ専門家の間では、今回のインシデントを「サプライチェーン攻撃の進化」と捉える声がある。

エクステンションエコシステムは、その拡張性ゆえに攻撃対象となりやすく、厳格な審査プロセスが不可欠だと指摘されている。また、開発者向けツールのセキュリティを強化するための業界全体の取り組みが急務とされている。

GitHubは、以前からセキュリティ機能の強化を進めていたが、今回の事件でその努力が不十分であったことが明らかになった。今後、エクステンションのサンドボックス化や権限管理の強化、リアルタイム監視の導入などの対策が検討されるだろう。

ユーザーへのアドバイス GitHubユーザーは、自身のリポジトリのセキュリティを確認することが推奨される。特に、認証情報や秘密鍵がリポジトリに含まれていないかを点検し、必要に応じてローテーションを行うべきだ。

また、使用しているVS Codeエクステンションの信頼性を再評価し、不要なエクステンションを無効化することも重要である。

企業組織では、内部リポジトリへのアクセス権限を最小限に留め、多要素認証（MFA）を徹底するなどの対策を講じる必要がある。インシデント発生時の対応計画を見直し、迅速な情報共有体制を整えることも肝要だ。

業界への影響 この事件は、ソフトウェア開発業界全体に波紋を広げている。コードリポジトリサービスのセキュリティ基準が再評価され、競合他社も対応を迫られる可能性がある。

また、オープンソースプロジェクトのセキュリティ確保についての議論が活性化することが予想される。

GitHubの信頼低下は、一部の開発者や組織が代替プラットフォームへの移行を検討する契機となり得る。しかし、GitHubのエコシステムが広く浸透していることを考えれば、短期間に大きな変動は生じないだろう。長期的には、セキュリティを重視したプラットフォームの選択が進む可能性がある。

結論

GitHubの内部リポジトリ流出事件は、開発者ツールのセキュリティリスクを如実に示す事例である。悪意あるエクステンションという身近な手段が、大規模なインシデントを引き起こした事実は、すべての開発者に警鐘を鳴らす。プラットフォーム提供者、エクステンション開発者、そしてユーザーが連携して、セキュリティ対策を強化する必要がある。 今後、GitHubがこのインシデントからどのように回復し、信頼を再構築するかが注目される。ソフトウェアサプライチェーンの安全確保は、業界全体の共通課題として取り組むべき重要テーマである。