GitHub の公式通知を悪用するフィッシング・キャンペーンを検知：公式を模倣する巧妙なメール

Hackers Exploit GitHub Notifications to Launch Phishing Attacks

2025/09/23 gbhackers — GitHub の公式通知システムを悪用し、認証情報を窃取するためのペイロードを配信する、新たなフィッシング・キャンペーンが、サイバー・セキュリティ研究者たちにより発見された。つまり、オープンソース・コントリビューターたちが、GitHub の通信チャネルに寄せる信頼を悪用する攻撃者は、従来からのメール・フィルターやソーシャル・エンジニアリング防御を回避できる。

このキャンペーンは、GitHub の標準的な通知形式にみられる、公式ロゴ／ヘッダースタイル／フッターリンクを忠実に模倣したメールから始まる。

したがって受信者は、このような書式を持つ、新しい共同作業者の招待／保留中のプルリクエストのレビュー／リポジトリのセキュリティ・アラートなどに関する通知を受け取ることになる。

しかし、これらの通知に取り込まれるリンクにより、GitHub の認証情報を収集するよう設計された、攻撃者が管理するドメインへと被害者はリダイレクトされる。セキュリティ・アナリストによると、これらの偽装サイトで被害者が、ユーザー名とパスワードを入力すると、攻撃者に対してコード・リポジトリと個人データへのフルアクセスを許可することになる。

この一連の攻撃で注目すべき点は、Gitcoin の開発者基金に関する発表を、ルアーとして悪用している点である。あるフィッシング・メールは “GitHub × Gitcoin Developer Fund 2025” プログラムに言及し、コミュニティ助成金やオープンソース資金調達イニシアチブの魅力を悪用している。二つの信頼できるブランド名を組み合わせることで、攻撃者はメッセージの信憑性を高め、受信者が疑うことなく手続きを進める可能性を高めている。

また、返金可能なデポジットの要件を記載することで、助成金獲得には正当な支払いが必要であると偽っている。

フィッシング・インフラの高度化

従来のスペルミスや粗雑な表現が残るフィッシング・メールとは異なり、これらのメールは動的コンテンツとパーソナライズ情報を活用している。攻撃者は、リポジトリ名／最近の貢献／フォロワー数など公開プロフィールから収集した情報を用い、受信者ごとにカスタマイズされたメッセージを作成する。

埋め込まれたトラッキング・ピクセルと固有 URL により、攻撃者は反応したターゲットを特定し、侵害を深めるためのフォローアップ・メッセージを送信する。

これらのフィッシング・メールは、検出を回避するために、以前に無害なトラフィックを配信した侵害メール・サーバやボットネットから送信される。したがって、ドメインの評判のみに依存するメール・セキュリティ・ゲートウェイの効果が低くなる。なぜなら、送信元 IP や送信ドメインの履歴が、クリーンな場合が多いからである。

さらに、有効な DKIM 署名や SPF レコードの使用はフィルタリングを複雑化し、自動防御システムが、正当な GitHub 通知と悪意の偽造通知を区別することを困難にしている。

緩和策

開発者およびリポジトリ管理者は、予期しない GitHub 通知に反応する際に、より一層の警戒が必要になっている。リンク先 URL をクリック前に確認し、GitHub の公式 Web インターフェイスまたは公式モバイルアプリで内容を検証することで、認証情報の漏洩を防ぐことができる。

GitHub アカウントでは、２要素認証 (2FA) を有効化することを強く推奨する。認証情報が漏洩しても、2FA により不正アクセスを阻止できる。

ユーザー組織にとって必要なことは、メッセージ内容／ユーザー行動／リンク先をリアルタイム分析する高度なフィッシング対策ソリューションの導入により、メール・セキュリティ体制を強化することだ。

セキュリティ・チームは、”github.com” を装う未認証メールを拒否／隔離する DMARC ポリシーも実施すべきである。定期的なフィッシング対策トレーニングと模擬演習により、巧妙なルアーの手口を認識できるようになる。

オープンソース・エコシステムが拡大する中で、攻撃者は戦術を洗練させ、ブランド信頼とコミュニティ関与を悪用して、より説得力のあるフィッシング・キャンペーンを展開するだろう。階層化された防御を導入し、警戒を維持し、開発者の間でセキュリティ文化を育むことで、組織はリポジトリを不正侵入から保護できる。

この記事で取り上げられているフィッシングの特徴は、GitHub の公式通知にそっくりな形式を悪用している点にあります。つまり、通知システムの信頼性を逆手にとり、利用者が本物だと信じやすい環境を作り出し、さらにリポジトリ名や貢献履歴といった公開情報を利用して個別に最適化されたメールを送り、受信者の警戒心を下げています。有効な DKIM や SPF を利用し、送信元もクリーンに見せかけることで、既存のフィルタリングをすり抜けてしまう点を、この記事は指摘しています。ご利用のチームは、ご参照ください。よろしければ、Phishing で検索も、ご参照ください。