ホスティングサービスのGitHub、ハッキングを受ける

GitHubが公式ブログにおいて「Public Key Security Vulnerability and Mitigation」と題して、ハッキングを受けたことを発表した。GitHubは、RubyやRailsを使用して開発プロジェクト向けにGitリポジトリやファイルの公開領域を提供するホスティングサービス。発表によると、Railsの問題を突かれてハッキングを受けたという。

今回のハッキングは、Egor Homakov氏という開発者がGitHubに脆弱性があることを報告したことから始まっている。報告された脆弱性はRailsに含まれるMass assignmentという問題で、Homakov氏は実際にGitHubにハッキングして、問題情報のタイムスタンプを1001年に書き換えている。

Homakov氏は、SSH公開鍵の更新フォームに脆弱性があることも指摘している。こちらも実際に彼が、登録できないSSH公開鍵を登録できてしまっていることを報告している。

彼はあくまで問題提起を行っただけで、実レベルの被害は与えていない。GitHubは、調査を行うため一時的にHomakov氏のアカウントを停止していたが、現在はアカウントを復活させむしろ彼と積極的にこの問題を議論している。また、GitHubはこれら問題の修正をすでに行なっており、攻撃の影響調査を行なっている。

この脆弱性は、GitHubではなくRails側の問題といえる。そのためRaisを使用している他のサービスサイトも影響を受ける可能性がある。Mass assignmentの問題は、Railsのセキュリティガイドで紹介されている。