GitHub warns users to enable 2FA before upcoming deadline
2023/12/26 BleepingComputer — GitHub アカウントにおいて、2要素認証 (2FA) が有効化されていない場合には、同サイトでの機能が制限されると警告されている。クリスマス・イブに GitHub ユーザーに送られたメールには、 GitHub.com でコードをコントリビュートしている全ユーザーは、2024年1月19日までに 2FA を有効化する必要があると記されている。
BleepingComputer が確認したメールには、「GitHub.com でコードをコントリビュートしているユーザーに対して、2要素認証 (2FA) の有効化を義務付けると発表したことを、お知らせする。あなたのアカウントは、この条件を満たしており、2024年1月19日 00:00 (UTC) までに 2FA 登録が必要であるため、この通知を配信している」と記されていた。
GitHub サイトにアカウントにログインした際にも、これと同じ警告が、以下のように表示される。
Source: BleepingComputer
GitHub でコードを記述/管理する人々に対して、2FA の義務化が適用される。同社は、アカウントの侵害やコードの改ざんによるサプライチェーン攻撃を防ぐために、この決定を下した。ただし、この変更は GitHub.com のみに適用されるものであり、ビジネス・アカウントやエンタープライズ・アカウントには適用されない。
一般のユーザーが、期限までに 2FA を設定しない場合には、GitHub へのアクセスが制限される。しかし、GitHub には、簡単に設定変更するための手順が用意されているので安心してほしい。
GitHub は電子メールで、「2024年1月19日 00:00 (UTC) に、あなたのアカウントの認証において 2FA が要求される。その日までに、2FA を登録していない場合には、その登録が完了するまでの間、GitHub.com へのアクセスが制限される」と述べている。
1月19日の期限を過ぎると、2FA なしで GitHub.com にアクセスしようとするユーザーは、自動的にセットアップを完了するよう指示される。
2FA が必須となった後も、設定済みの Personal Access Tokens/SSHキー/アプリなどは、そのまま利用できる。ただし、新しいものを作成する場合や、アカウント設定を変更する場合には、そのアカウントで 2FA を有効にする必要がある。
Github で 2FA を設定する方法
GitHub では、ユーザーの好みに合わせた様々な方法である、セキュリティキー/GitHub Mobile/認証アプリ (TOTP)/SMS テキストメッセージなどにより 2FA を有効化する。
継続的なアクセスを保証するためには、これらの方法のうち、少なくとも2つを有効にすることが推奨される。それぞれのユーザーは、GitHub のセキュリティ設定で 2FA 設定を管理し、追加の方法を検討することができる。
Source: BleepingComputer
2024年1月19日以前において、すでに 2FA を有効にしているのであれば、準備は万端である。それ以降において、2FA をオフにすることはできないが、設定した認証方法を変更することは可能である。
Source: BleepingComputer
GitHub はメールの中で、「2FA 認証情報を紛失した場合、2FA を有効にしているアカウントへのアクセスを復元できない可能性がある。したがって、2FA の方法を複数持つことを推奨する」と警告している。
すべての 2FA オプションを失った場合には、リカバリーコードを用いて、アカウントへのアクセスを復元する他に手はなくなる。
GitHub の 2FA 移行については、2022/05/03 の「GitHub が 2FA への完全移行を 2023 年末まで実施:ソフトウェア・サプライチェーンを攻撃から守る」や、2022/12/15 の「GitHub の 2FA 義務化:2023/03〜2023/12 で全ユーザーに対応」で、お伝えしてきました。そして、今回の記事により、予定通りに進んでいることが分かりました。とにかく、とても良い展開です。
IoT OT Security News 
You must be logged in to post a comment.