サイバーセキュリティナビ

最新のサイバーセキュリティニュースサイトです。日本サイバーセキュリティ株式会社がお届けします。

なぜGitHubの認証情報は盗まれるのか:CAMPFIRE22万件流出とマネーフォワード事件から学ぶ4つの侵入経路

セキュリティニュース 情報漏洩 認証と認可 MFA パスワード管理 マルウェア サイバー攻撃 セキュリティ対策 インシデント対応 セキュリティ意識向上 Webアプリケーションセキュリティ

立て続けに起きた「GitHub経由」の大規模流出

2026年4月から5月にかけて、開発インフラを起点とした情報流出事件が立て続けに公表されました。

クラウドファンディングのCAMPFIREは、システム管理用GitHubアカウントへの不正アクセスにより、最大22万5,846件の個人情報が漏えいした可能性があると4月24日に発表しています。プロジェクトオーナー約12万件、支援者約13万件、これに口座情報まで含まれていたのが特徴です。 続く5月1日、マネーフォワードもGitHubの認証情報が漏えいし、リポジトリ(プログラムの保管庫)がコピーされたことを公表。ビジネスカード370件分のカード保持者名と番号下4桁が流出した可能性があり、銀行口座連携を一時停止する事態に発展しました。

注目すべきは、両社ともに「認証情報が盗まれて第三者が正規にログインした」という共通点があることです。 脆弱性を突かれたわけではなく、いわば合鍵を奪われて正面玄関から入られた構図。御社の開発チームが使うGitHubも、決して他人事ではありません。

なぜGitHubの認証情報は盗まれるのか

理由は大きく4つあります。いずれも調査データで裏付けられた事実です。

第一に、パスワードの使い回しと弱いパスワード。Verizonの「2025 Data Breach Investigations Report」によれば、侵害の22%が認証情報経由で発生しており、感染端末のユーザーが各サービスで使うパスワードのうち固有なものは中央値で49%にすぎません。半分以上が他サービスと共通という現実です。

第二に、インフォスティーラー(情報窃取マルウェア)による開発者端末からの一括窃取。同レポートでは、インフォスティーラー感染端末の30%が法人端末、46%は管理外の端末で個人と業務の認証情報が混在していたとされます。開発者の端末にはPAT(個人用アクセストークン:パスワードの代わりにGitHub操作を許可する文字列)やAPIキー、SSHキー、.envファイルが詰まっており、感染すれば一気に抜かれます。

第三に、ソースコードへの認証情報のハードコード(直書き)。GitGuardian社の「State of Secrets Sprawl 2025」は、2024年だけで2,377万件の秘密情報が公開GitHubに新規流出したと報告。さらにプライベートリポジトリは公開リポジトリの9倍も秘密情報を含みやすいと指摘されています。「プライベートだから安全」という油断は禁物です。 マネーフォワードの再発防止策で「ソースコード内の認証キー・パスワードを無効化・再発行」と明記されている点からも、ソースコード内のハードコードがあったことが読み取れます。

第四に、AIコーディングアシスタント経由の漏えい。GitHub CopilotやCursor、Claude Codeといったツールは、タスクをこなすために.envやshell設定、MCP設定ファイルなどワークスペース内の認証情報すべてに触れます。GitGuardianは2026年5月の記事で「エージェントが既存コードからハードコードされたAPIキー使用のパターンを学習・模倣する」リスクを警告しています。

情シスが今すぐ開発チームに依頼すべき4つの点検

対策は「アカウント保護」「リポジトリ運用」「AI開発」「端末側」の4方向で進めます。

まずアカウント保護。GitHubは2023年以降、コード貢献者に2FAを必須化しており、パスキーも利用可能です。組織アカウントでは全メンバー2FA強制、可能ならSSO+SCIM連携を有効にし、PATは最小権限・短期間に。CAMPFIREの再発防止策にも「PATへの依存見直し」が掲げられています。

次にリポジトリ運用。.envやcredentials.jsonは.gitignoreで除外し、GitHubの「Secret Scanning」と「Push Protection」(コミット時に秘密情報を自動検知・ブロックする機能)を組織レベルで有効化してください。万が一コミットされた認証情報は履歴に残り続けるため、git revertでは不十分。必ずキーを再発行します。HashiCorp VaultやAWS Secrets Manager等の秘密情報マネージャ導入も推奨です。

そしてAI開発時代特有の対策。AIに見せる環境には本番認証情報を置かない、生成コードは必ずレビューする、pre-commitフックでコミット前に秘密情報をスキャンする、MCP設定ファイルも機密扱いする、といった運用が必要です。

最後に端末対策。開発端末へのEDR(高度な振る舞い検知ソフト)導入、業務認証情報のブラウザ保存禁止、私的ダウンロードの抑止でインフォスティーラー感染リスクを下げます。

「開発の話」を情シスの議題に上げる

GitHubアカウントの侵害は、もはや開発部門だけの問題ではなく顧客情報や金融情報の流出に直結する経営リスクです。 情シス担当者は「うちの開発チームは2FAをどう運用していますか」「PATは棚卸しされていますか」「Push Protectionは有効ですか」と問いかけるところから始めてください。

参考情報:CAMPFIRE 第二報 / 第三報 / 続報マネーフォワード第一報Verizon 2025 DBIRGitGuardian Secrets Sprawl 2025GitGuardian AI Agents SecurityGitHub 2FAGitHub Passkeys

Japan Cyber Security Inc. All Rights Reserved.