• DIGITALIST
  • Trends
  • GitHubがコード提供全ユーザーに2FA義務付けへ、サプライチェーンの安全性保持に
Pocket HatenaBlog facebook Twitter Close
海外 公開日: 2022.05.10

GitHubがコード提供全ユーザーに2FA義務付けへ、サプライチェーンの安全性保持に

お気に入り

▼ ニュースのポイント
①GitHubはコードを投稿する全ユーザーに2要素認証有効化を義務付けることを決定した。
②近年の乗っ取り被害を受けたもので2023年末までの対応を求める。
③ソフトウェア開発のエコシステム全体、サプライチェーン全体のセキュリティ向上が目標。

ユーザーは今すぐ1つ以上の形式で2要素認証を

 Microsoft傘下のGitHubは米国時間の5月4日、「GitHub.com」へコードを投稿する全ユーザーに対し、少なくとも1つ以上の形式による2要素認証(two-factor-authentication・2FA)を有効化することを義務付けると発表した。対応期限は2023年末までとされる。



 ソフトウェアのサプライチェーンは開発者から始まっており、昨今、開発者のアカウントがソーシャルエンジニアリングやアカウント乗っ取りの主要ターゲットになりつつあるという。そのため、こうした攻撃から開発者を保護することが、サプライチェーンを安全にするための最初で最も重要なステップとなるとする。



 GitHubではこれまで、既知の不正ユーザーパスワードの調査に基づく無効化処理や、堅牢なWebAuthnセキュリティキーのサポート、全npmパブリッシャーへのログイン認証強化といった取り組みを実施し、開発者の保護に取り組んできたが、さらなるアカウントセキュリティの向上を図ることが必要と判断、プラットフォーム全体の取り組みとして、コードを提供する全ユーザーに2要素認証を有効化するよう求めることとした。

ストレスは最小限になるよう多角的工夫を適用予定

 強力なアカウントセキュリティ体制を構築することが、開発者のストレスとなり、利用体験を害することがないよう、パスワードレス認証など、よりシンプルかつ安全にユーザー認証を進める方法を積極的に探究することも並行して進めていくという。

 開発者にとっては、認証とアカウント回復のオプションが増え、アカウントの侵害防止と回復を図る必要が生じた際の対応における利便性向上が期待できるとされる。

 対応の背景には、2021年11月にGitHubが2要素認証を有効化していない開発者アカウントの侵害に起因するnpmパッケージの乗っ取り被害を受けたことがある。

 近年のセキュリティ侵害を分析すると、そのほとんどはエキゾチックなゼロデイ攻撃によるものではなく、ソーシャルエンジニアリングやクレデンシャル(信用証明書)の盗難または漏洩などの攻撃によるもので、攻撃者はこれにより、被害者のアカウントと、被害ユーザーがアクセスできる対象のリソースに幅広く不正なアクセスを可能としてしまう。

 乗っ取りを受けたアカウントは、プライベートコードを盗んだり、そのコードに悪意ある変更を加えたりするために使われる可能性があり、そのアカウントに関連する個人や組織はもちろん、影響を受けたコードを用いる全ユーザーにも危険が及ぶ可能性がある。

 結果として、ソフトウェアのエコシステムとサプライチェーンに多大な影響を及ぼすことになりかねないというわけだ。

現状で2FA対応済みなのはアクティブユーザーの約16.5%、npmではわずか6.44%

 攻撃に対し、最善の防御は認証レベルを上げることであるため、GitHubではすでにgitオペレーションやAPIで基本認証を廃止、ユーザー名とパスワードに加え、電子メールベースのデバイス認証を要求するものとした。

 2要素認証の導入はセキュリティ向上に有効であることが実証されているが、ソフトウェア・エコシステム全体での採用率は依然として低い。現時点で1つ以上の形式による2要素認証を用いているのは、アクティブなGitHubユーザーの約16.5%、npmユーザーに至っては6.44%に限られるという。

 GitHubでは、今年2月にnpmレジストリの上位100パッケージについて、その全てのメンテナに2要素認証を義務付け、5月末にはこれを上位500まで拡張する予定ともしている。

 最終的には、依存者数が500人以上、または週間ダウンロード数が100万件以上といった影響力の大きいパッケージについては、メンテナに2要素認証を義務付けるかたちへ、今年の第3四半期を目途に取り組みを進めていく予定とした。こうしたnpmにおける2要素認証義務化で得られた知見を、GitHub.com全体に活かしていく方針という。

 GitHubでは、こうした取り組みを推進するため、ユーザーが2要素認証を有効化するための、すぐに実行できる方法を指南するといったことも実施中だ。iOS/Android対応のGitHub Mobile向け2要素認証の提供も開始している。

 フィッシングに強いWebAuthnセキュリティキー体験版など、セキュリティキーの採用をサポートする案内も積極的に展開中だ。アナウンス内容を参考に、対応を進めたい。

(画像はプレスリリースより)


▼外部リンク

GitHub プレスリリース(公式ブログ発表記事)
https://github.blog/2022-05-04

▼ 会社概要
GitHub, Inc.は、ソフトウェア開発のプラットフォームで、オープンソースから商用まで幅広いソースコードをホスティングし、提供する「GitHub」の保守運営を担っている企業。開発者同士がコードを共有し、共同開発するといったことも可能で、開発者間におけるコミュニケーションも活発、SNSのような機能も果たしている。2018年にMicrosoft傘下となった。

社名:GitHub, Inc.
CEO:Thomas Dohmke
所在地:米国・San Francisco, California

関連記事

DIGITALIST会員が
できること

  • 会員限定記事が全て読める
  • 厳選情報をメルマガで確認
  • 同業他社のニュースを閲覧
    ※本機能は、一部ご利用いただけない会員様がいます。