GitHub:エクスプロイト情報の掲載ポリシーを変更

GitHub Updates Policy to Remove Exploit Code When Used in Active Attacks

2021/06/05 TheHackerNews — 6月4日のこと、コード・ホスティングのプラットフォームである GitHub は、同社のサービスにアップロードされたマルウェアやエクスプロイト・コードなどの取り扱いに関する、一連のポリシー・アップデートを正式に発表した。

Microsoft が所有する GitHub は、「デュアル・ユースのセキュリティ技術と、脆弱性/マルウェア/エクスプロイトの研究に関連するコンテンツは、明示的に許可される。GitHub 上の数多くのセキュリティ研究プロジェクトがデュアルユースであり、セキュリティ・コミュニティにとって広く有益であると理解している。私たちは、エコシステム全体の改善を促進するために、これらのプロジェクトが積極的利用されることを想定している」と述べている

同社は、技術的な被害をもたらす違法な攻撃やマルウェアキャンペーンを、ダイレクトに支援する目的で GitHub を利用することは認めないとしています。その上で、GitHub をエクスプロイトやマルウェアの CDN として悪用する、進行中の攻撃を阻止するための措置をとることがあると述べている。

この記事によると、GitHub ユーザーは、悪意の実行ファイルの配信や、DoS 攻撃の組織化や、C2 サーバーの管理といった、攻撃インフラとして GitHub を悪用される可能性のあるコンテンツを、アップロード/ホスティング/センディングしてはならないと解説しています。なお、GitHub は技術的な被害の定義について、「リソースの過剰消費/物理的損傷/ダウンタイム/サービス妨害/データ損失を意味し、不正使用が発生する以前に暗黙的/明示的なデュアル・ユースの目的が示されないことだ」と述べています。

%d bloggers like this: