GitHub Action – IoT OT Security News

Claude Code GitHub Action の問題：CI/CD ワークフローのシークレットが露出

Microsoft Warns Claude Code GitHub Action May Expose CI/CD Secrets

2026/06/08 gbhackers — Anthropic の Claude Code GitHub Action の欠陥により、AI エージェントが未信頼の GitHub コンテンツを処理する際に、CI/CD ワークフローのシークレットが意図せずに露出する可能性がある。このリスクは、エージェントがファイル読取に使用する一部のツールが、Bash のようなサブプロセス実行パスとは異なりサンドボックス化されていないことに起因する。特に Read ツールは “/proc/self/environ” へのアクセスが可能であるため、ANTHROPIC_API_KEY などを含む環境変数や、ランナー上で利用可能な認証情報を返す状態になっていた。

Grafana Labs で発生した侵害：GitHub Action の脆弱性 Pwn Request が侵入口と判明

Grafana Labs Security Breach – Hackers Access GitHub and Download Codebase

2026/05/17 CyberSecurityNews — Grafana Labs の GitHub 環境に侵入した脅威アクターが、特権トークンを窃取してプライベート・コードベースをダウンロードした上で、恐喝と身代金の要求を試みた。2026年5月16日に Grafana Labs が開示したのは、GitHub 環境へのアクセス権を持つトークンが不正に取得され、攻撃者によるコードベースのダウンロードが可能な状態であったことだ。

GitHub Actions の脆弱性 CVE-2025-30154／CVE-2025-30066：サプライチェーン攻撃の可能性を考える

Impact, Root Cause of GitHub Actions Supply Chain Hack Revealed

2025/03/21 SecurityWeek — GitHub Actions “tj-actions/changed-files” は、ファイルやディレクトリの変更を追跡するために、23,000 以上のリポジトリで積極的に使用されているアクションである。先週末のことだが、この GitHub Actions に発生した攻撃により、CI/CD シークレットをダンプしてログを作成するように設計された、悪意のスクリプトが実行されたことが判明した。

GitHub Action の脆弱性 CVE-2025-30066：侵害によるシークレット漏洩と是正の手順

2025/03/15 SecurityOnline — GitHub Action “tj-actions/changed-files” は、広く使用されているソフトウェア・ワークフローのためのものだが、新たに検出された深刻なセキュリティ・インシデントが懸念を生じている。セキュリティ侵害を積極的に調査する Step Security は、ユーザーに警告を発し、速やかに是正措置を取るよう促している。このインシデントを追跡するコードとして、公式に CVE-2025-30066 が採番されている。

GitHub における偽装 Dependabot：悪意のコードをコミットさせる新たなキャンペーン

GitHub Repositories Hit by Password-Stealing Commits Disguised as Dependabot Contributions

2023/09/28 TheHackerNews — 開発者からパスワードを盗むことを目的として、GitHub アカウントをハイジャックし、Dependabot の投稿を装いながら悪意のコードをコミットするという、新たな悪意のキャンペーンが観察された。Checkmarx はテクニカル・レポートで、「この悪意のコードは、GitHub プロジェクトで定義されたシークレットを、悪意の C2 サーバへと流出させる。それに加えて、攻撃したプロジェクト内の既存の javascript ファイルを、Webフォーム・パスワード・ステーラー・マルウェア・コードを用いて変更する」と述べている。

M	T	W	T	F	S	S
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30