GitHub to require all users to enable 2FA by the end of 2023
2022/12/15 BleepingComputer — 2023年末までに GitHub は、このプラットフォーム上でコードをコントリビュートする全ユーザーに対して、アカウント保護の追加措置として 2FA の有効化を義務付ける予定である。2FA (二要素認証) とは、ワンタイム・コードを入力する追加ステップを、ログイン時に導入することで、アカウントのセキュリティを向上させるものだ。
GitHub のユーザーにとって、アカウントの乗っ取りは、サプライチェーン攻撃の原因となる悪質なコードの導入につながり、人気度の高いプロジェクトが汚染されると、広範囲におよぶ影響が生じることもある。
すべての GitHub アカウントに対して、必須の措置として 2FA を義務化することで、ユーザーがリポジトリからダウンロードするコードの品質が高まり、より安全なプラットフォームとして認識される。
2022年の初めに、このソフトウェア・ホスティングとコラボレーションのプラットフォームは、100万ダウンロード/週以上、または、500人以上の利用者を持つ、影響力の大きいプロジェクトのアクティブな開発者を対象として、同様の決定を発表している。
そして、今回の 2FA に関する要件は全ユーザーに拡大され、対象となるユーザー数は約 8300万人にいたるという。この決定について、GitHub は以前から公表していたが、この新しい措置の実施方法について、改めて詳細な情報を共有した。
2FA 義務化の展開
2023年3月から GitHub は、すべての GitHub アカウントに 2FA の義務化を展開し始めるが、最初は一部のコントリビューター・グループへの要請となる。この機能の展開は、オンボーディング率/アカウントのロックアウトとリカバリー/サポートチケットのボリュームを測定および評価した後に、より大きなグループに対して拡大される予定だ。
GitHub によると、より大きなグループのプールは、以下の基準で構築される。
- GitHub または OAuth のアプリ/パッケージを公開したユーザー
- リリースを作成したユーザー
- エンタープライズと組織の管理者であるユーザー
- npm/OpenSSF/PyPI/RubyGems の重要なリポジトリにコードを提供したユーザー
- 上位約400万件のパブリック/プライベート・リポジトリにコードを提供したユーザー
電子メールで 2FA の有効化の事前通知を受けたユーザーは、有効化するまでに 45日の期間が与えられる。
この期限に達すると、GitHub 上で 2FA を有効化するように促すメッセージが、そこから1週間表示されるようになるが、それでも対応しなかった場合には GitHub の機能へのアクセスがブロックされる。この1週間の予備期間は、期限後にサインインしたときにのみ開始されるため、休暇などと重なっても問題は生じないと、GitHub ブログには記されている。
そして、2FA が有効化されたから 28日後に、新たなセキュリティ設定が計画どおりに機能しているかを確認するために、対象となるユーザーは強制的な検査を受け、2FA の再設定や紛失コードの回復などが可能になるという。
この件に関しては、2022年3月3日の「GitHub が 2FA への完全移行を 2023 年末まで実施:ソフトウェア・サプライチェーンを攻撃から守る」でお伝えしていました。ただし、その時点では、GitHub のアクティブ・ユーザーの約 16.5% および、npm ユーザーの 6.44% のみが、2FAを使用しているに過ぎないと説明されていました。この数ヶ月で、どれくらい 2FA の利用率が上がっているのかという点も、とても興味深いです。よろしければ、GitHub で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.