GitHub が 2FA への完全移行を 2023 年末まで実施:ソフトウェア・サプライチェーンを攻撃から守る

GitHub to require 2FA from active developers by the end of 2023

2022/05/03 BleepingComputer — 今日、GitHub は、同社のプラットフォーム上でコードをコントリビュートする、約 8300万人の開発者が使用するアカウントに対して、2023年末までに二要素認証 (2FA) の有効化を義務付けることを発表した。この、2FA 有効化が要求されるアクティブなコントリビューターに含まれるのは、コードのコミット/Actionsの使用/プルリクエストの open/merge/パッケージの公開などを行う GitHub ユーザーとなるが、それらに限定されるものではない。

開発者たちは、物理的なセキュリティキー/スマフォやラップトップなどに組み込まれた仮想セキュリティキー/Time-based One-Time Password (TOTP) 認証アプリなどから、複数の 2FA オプションを使用することが可能となる。SMS ベースの 2FA を選択できる国もあるが、脅威アクターによる SMS 2FA 認証トークンの回避/窃取が生じているため、GitHub としてはセキュリティキー/TOTP への切り替えを促している。

GitHub の CSO である Mike Hanley は、「GitHub.com の組織/企業オーナーは、その組織/企業のメンバーに 2FA を要求することもできる。なお、2FA を使用していない組織/企業のメンバー/オーナーは、これらの設定を有効にすると、組織/企業から削除される」と述べている。

これは、基本的なパスワードベースの認証からの移行により、ソフトウェア・サプライチェーンを攻撃から守るための、GitHub としての最新のステップである。以前にも GitHub は、Git 操作の認証に電子メール・ベースのデバイス認証を義務付け、アカウント/パスワードを推奨しないと発表している。また、GitHub は 2020年11月に、REST API 経由のパスワード認証を無効にし、2021年5月には FIDO2 セキュリティキーを介した SSH Git 操作のセキュリティ確保をサポートするようにした。

また、GitHub は、2要素認証/サインインアラート/漏洩パスワードのブロック/WebAuthn のサポートなどを追加し、長年にわたりアカウントのセキュリティを向上させてきた。

なぜ 2FA なのか?

GitHub のアカウントで 2FA 認証を有効にすると、盗み出された認証情報や、パスワードの再利用などによる、乗っ取り攻撃に対する耐性が高まる。

Microsoft の Director of Identity Security である Alex Weinert は、「パスワードは重要ではないが、MFA は重要である。私たちの調査によれば、MFA の使用により、アカウント侵害の可能性は 99.9% 以上低くなる。パスワードを上回るものを使用すると、攻撃者のコストが大幅に増加するため、あらゆるタイプの MFA を使用したアカウントの侵害率は、全体の 0.1% 未満である」と、以前から述べている。

また、以前から Google は、「Google アカウントに回復用電話番号を追加するだけで、自動ボットを最大で 100%、バルク・フィッシング攻撃を99%、標的型攻撃を 66% ブロックできる。セキュリティキーだけを使用するユーザーが、標的型フィッシングの被害に遭ったのはゼロである」と明らかにしている。

今日、Mike Hanley は、「2FA が乗っ取りからアカウントを保護する、シンプルな方法であることは証明されている。しかし、GitHub のアクティブ・ユーザーの約16.5%、npm ユーザーの 6.44% が、2FAを使用しているに過ぎない」と付け加えている。GitHub は、GitHubアカウントに 2FA を設定する方法や、2FA 認証情報を失った際のアカウントの回復、個人アカウントの 2FA の無効化について、詳細な情報を提供している。

GitHub の 2FA への移行という、とても素晴らしい展開です。最近では、2月8日の「Google の 2FA 推進プロモーション:1.5 億人が追加されセキュリティが向上」という、ポジティブなトピックがありましたが、2月3日の「多要素認証 (MFA) の第2ラウンド:脅威アクターはリバースプロキシ・キットで対抗」や、2021年8月の「多要素認証バイパスを引き起こすテクノロジー Top-5」といったトピックもあります。2FA/MFA があれば、すべて大丈夫という話ではありませんが、今回の GitHub の発表を喜びたいと思います。

%d bloggers like this: