GitHubは3月23日(米国時間)、「We updated our RSA SSH host key|The GitHub Blog」において、2023年3月24日 5時00分(協定世界時)ごろにGitHub.comのGit操作で使われるRSA SSHホストキーを交換したと伝えた。誤って秘密鍵を公開していたことが明らかになったことに対する対応とされている。ECDSAまたはEd25519に変更はないとのことだ。
-
We updated our RSA SSH host key|The GitHub Blog
GitHubは今週、一時的に公開したGitHubリポジトリにGitHub.comのRSA SSH秘密鍵が含まれていることを発見した。これはGitHubシステムの侵害などによるものではなく、誤って操作を行って公開してしまったものと考えられている。GitHubはすぐに対象となっている公開を停止して調査を実施、この鍵が悪用されたという証拠は見当たらないものの、念のため該当するRSA SSH秘密鍵の交換を行ったと説明している。
GitHubは公開されていた秘密鍵がサイバー攻撃者に窃取されていた場合、GitHubを偽装したり、SSH経由でのGitHub操作を盗聴したりできる可能性があると説明している。
2023年3月24日午後あたりからGitHub.comへSSH経由でアクセスを行った際に接続が拒否されるようになった場合、この鍵交換の影響を受けている可能性がある。また、~/.ssh/known_hostsからgithub.comのエントリを削除して再接続ができるようになる場合、鍵交換の影響で接続ができなくなっていた可能性がある。
