CISA の認証情報／機密データが GitHub リポジトリに漏洩：GitGuardian が指摘した問題とは？

CISA Credentials, Sensitive Data Exposed in GitHub Repository

2026/05/19 SecurityBoulevard — CISA における深刻な情報漏洩が明らかにされた。同組織の外部契約者が、Amazon Web Services (AWS) 上に保存されている、連邦政府の最高サイバーセキュリティ機関のシステムに関する認証情報および高権限政府アカウントを、不適切に公開していたことが露見した。

Krebs on Security の報告によると、これらのファイルは、GitHub の Private-CISA というリポジトリ内で、数ヶ月にわたり公開されていた。このリポジトリは、2025年11月に作成され、2026年5月に問題が通報されるまで公開状態が続いていた。

政府契約者 Nightwing により公開されたデータには、Department of Homeland Security (DHS) と CISA に関連するファイルと認証情報が含まれていた。具体的に言うと、クラウドキー／平文パスワード／トークン／ログに加え、CISA の内部ソフトウェアのビルド／テスト／デプロイの方法に関する詳細も含まれていた。

GitGuardian の研究者 Guillaume Valadon は、GitHub 上の公開リポジトリから機密情報を検出する過程で CISA による漏洩を発見した。その後に、リポジトリ所有者に連絡したが、それに対する応答が無かったことで、Krebs on Security に再連絡した。

これまでにおける最悪の漏洩

Guillaume Valadon は、「CSV に平文で保存されていたのは、パスワードと Git 内のバックアップなどだ。また、GitHub のシークレット検出機能を無効化する明示的なコマンドも確認している。最初は偽物だと思ったが、詳細に分析した結果、本物であることが判明した。これは、私のキャリアで見た中で最悪の漏洩である」と、メールで述べている。

このインシデントは、職員と予算の削減の影響を受けている CISA にとって、きわめて深刻なセキュリティ問題である。CISA においては、2025年1月に Jen Easterly が辞任して以降、常任ディレクターが不在という状態が続いている。

さらに Valadon は、GitHub のデフォルト設定である “シークレット公開防止機能” が、管理者により無効化されていたことを、コミットログから確認したと指摘している。

管理者認証情報と平文パスワード

研究者の報告によると、”importantAWStokens” というファイルには、3 つの AWS GovCloud サーバの管理者認証情報が含まれていた。また、”AWS-Workspace-Firefox-Passwords.csv” には、CISA 内部システムにおける多数のユーザー名と平文パスワードが記録されていた。

セキュリティ企業 Seralys の創業者 Philippe Caturegli は、これらの AWS キーの有効性を検証し、内部システムへのアクセスの可能性を調査した。その結果、”LZ-DSO” ( Landing Zone DevSecOps と推定) と呼ばれる環境への、アクセスが可能であることが判明した。

推測が容易なパスワード

リポジトリ内の情報を参照した Philippe Caturegli が指摘するのは、その契約者が “サービス名＋年” など推測が容易なパスワードを、複数の内部リソースで使い回していたことである。

また、この GitHub アカウントは正式なプロジェクトではなく、”作業用スクラッチパッドまたは同期用途” として利用されていた可能性が高いと述べている。

リポジトリは削除されたが問題は残存

問題が通知された後に、当該 GitHub リポジトリは速やかに非公開化された。しかし、一部の AWS キーは、その後も約48時間にわたり有効な状態を維持した。

CISA の広報担当者は、「現時点で、このインシデントによる機密データ侵害の兆候はない。再発防止のため、追加対策を実施中である」とコメントしている。

セキュリティ衛生の欠如

FusionAuth の Dan Moore は、このインシデントは、基本的なセキュリティ衛生の欠如に起因すると指摘している。

同氏は、「責任ある開示を無視したことで被害が拡大した。しかし、根本的な問題は長期間にわたり有効な、静的認証情報にある。一度漏洩した秘密情報は、手動で無効化されるまで永続する。これは設計上の問題であり、単なるミスではない」と述べている。

学習と教訓

Black Duck の Tim Mackey は、このインシデントを教訓とすべきであると述べている。

同氏は、「これは、Git 対応の付箋にパスワードを書いて、キーボードの下に隠すような行為と同じである。それが、CISA 関係者により行われたことが問題である。そこから生じる明らかな疑念は、鍵のローテーションが運用に組み込まれていないか、もしくは想定より長期間放置されていたのではないかという点だ」と述べている。

このインシデントが示すのは、認証情報管理の継続的な監査と、システムの重要度に応じた鍵の有効期間の設定の重要性である。

訳者後書：今回の CISA におけるインシデントは、クラウドの認証情報が記載されたファイルが GitHub 上に不適切に公開されていたことが問題の原因です。開発を円滑に進めるための作業用リポジトリとして使われていたようですが、本来であれば公開を自動で防ぐはずのセキュリティ機能が意図的に無効化されており、平文のパスワードや高権限の AWS キーがそのまま数ヶ月も放置されてしまいました。どれだけ高度なセキュリティ機関であっても、運用ミスや基本的なルールの形骸化を完全に防ぐのは極めて難しいという、現実を突きつけられるインシデントだと感じます。

M	T	W	T	F	S	S
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31