GitHubのセキュリティチームは4月15日、公式ブログ「Security alert: Attack campaign involving stolen OAuth user tokens issued to two third-party integrators」において、盗まれたOAuthユーザートークンを悪用してGitHubのプライベートリポジトリなどにアクセスし、データを盗み出す攻撃が確認されたと伝えた。

攻撃者による悪用が確認されたのはHerokuおよびTravis-CIによって発行されたOAuthユーザートークンで、これらのトークンを使用するnpmを含む数十の組織からデータがダウンロードされた形跡があるという。

  • Security alert: Attack campaign involving stolen OAuth user tokens issued to two third-party integrators|The GitHub Blog

    Security alert: Attack campaign involving stolen OAuth user tokens issued to two third-party integrators|The GitHub Blog

OAuthユーザートークンは、実際の資格情報を共有することなくプライベートなデータ領域へのアクセス認証を実現するもので、アプリやサービスにおけるシングルサインオンの仕組みとして広く利用されている。GitHubによると、問題のトークンはGitHubには元のデータ形式として保持されておらず、調査の結果、サードパーティ製のOAuthアプリケーションから盗まれたものである可能性が高いことがわかったという。

2022年4月15日時点で判明している、影響を受けるOAuthアプリケーションとしては、以下が挙げられている。

  • Heroku Dashboard (ID: 145909)
  • Heroku Dashboard (ID: 628778)
  • Heroku Dashboard – Preview (ID: 313468)
  • Heroku Dashboard – Classic (ID: 363831)
  • Travis CI (ID: 9216)

HerokuおよびTravis CIによって発行されたOAuthユーザートークンは、GitHub自体を含む多くのGitHubユーザーによって使用されており、判明しているだけでも数十の組織から、プライベートリポジトリのデータがダウンロードされた可能性が高いとのこと。被害を受けた組織には、Node.jsのパッケージ管理システムであるnpmも含まれている。

GitHubでは、GitHub.com全体を分析し、盗まれたOAuthユーザートークンの影響を受けることが判明しているすべての組織およびユーザーの特定を進めているという。影響を受けたユーザーに対しては、通知メールが送られ、72時間以内に対応をサポートするための詳細情報が伝えられる。攻撃はまだ継続している可能性があり、予期しないアクティビティや異常なアクティビティがないかどうか注意を払うことが推奨されている。