米 サイバーセキュリティ庁 CISAの委託業者がAWS GovCloud 認証情報・平文パスワード等を6か月間 GitHubで公開

セキュリティニュース

投稿日時: 更新日時:

米 サイバーセキュリティ庁 CISAの委託業者がAWS GovCloud 認証情報・平文パスワード等を6か月間 GitHubで公開

米国サイバーセキュリティ・インフラセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)の業務委託先企業の社員が、「Private-CISA」と名付けられたGitHubの公開リポジトリに、特権を持つAWS GovCloudの認証情報・数十件の内部システムの平文パスワード・Kubernetesコンフィグ等の高度に機密性の高いデータを2025年11月13日から6か月以上にわたって公開し続けていたことが発覚しました(Krebs on Security・2026年5月18日)。

本件はセキュリティ企業GitGuardianの研究者・Guillaume Valadon氏が2026年5月15日に発見し、Brian Krebs氏に通報したことで表面化しました。Valadon氏は「キャリアの中で最悪の漏洩だ」と評しており、CyberScoopへの取材で「国家支援の攻撃者がデータを入手し、政府システムに持続的な足がかりを確立していた可能性がある——それは何かを破壊されるよりもさらに深刻な事態だ」と述べています(CyberScoop・2026年5月19日)。

米連邦議会ではミシシッピ州選出のBennie Thompson下院議員(国土安全保障委員会民主党筆頭委員)とDelia Ramirez下院議員(サイバー小委員会民主党筆頭委員)、さらにMaggie Hassan上院議員(民主・ニューハンプシャー州)がそれぞれCISA長官代理のNick Andersen氏に書簡を送付し、詳細な説明を要求しています。

この記事のサマリー

  • 漏洩の発覚日:2026年5月15日(GitGuardian・Guillaume Valadon氏が発見)・Krebs on Securityが5月18日に報道。
  • リポジトリ名:「Private-CISA」(GitHub上の公開リポジトリ)
  • リポジトリ作成日:2025年11月13日。公開状態での放置期間は約6か月。
  • 維持者:バージニア州ダレスのCISA委託業者「Nightwing」の社員(個人名は非公表)
  • 漏洩した内容:特権AWS GovCloudアカウント3件の管理者認証情報・数十件の内部システムへの平文パスワード(CSVファイル)・Kubernetesコンフィグ(kube-config.txt)・内部コードリポジトリ「Artifactory」の認証情報・CISAの内部ソフトウェア開発環境(LZ-DSO:Landing Zone DevSecOps)へのアクセス情報等。
  • 鍵の有効性の検証:セキュリティ研究者Philippe Caturegli氏(Seralys)がAWSキーを検証し、3つのAWS GovCloudアカウントへの高権限での認証が成立することを確認。
  • 特に危険な点:Artifactory(CISAが使用するすべてのコードパッケージのリポジトリ)の認証情報漏洩——悪用されればビルドのたびにバックドアが自動展開される「サプライチェーン攻撃」が可能。
  • 対応の遅さ:リポジトリ削除後も48時間にわたってAWSキーが有効なまま放置
  • CISAの現状:第2次トランプ政権発足以降、人員の約3割が削減(早期退職・リストラ・退職)されており、人員不足が背景にあると複数の専門家が指摘。
  • 議会の反応:下院国土安全保障委員会民主党筆頭委員が書簡でCISA長官代理に説明を要求。上院議員も機密ブリーフィングを要求。
  • CISAの公式コメント:「現時点では本件の結果として機密データが侵害されたという証拠はない」としつつ調査を継続中。

発覚の経緯—GitGuardianがGitHubの自動スキャンで発見

GitGuardianは公開コードリポジトリを常時スキャンし、機密情報が誤公開された際に自動でアカウントに警告を送信するサービスを提供しています。しかし今回のケースでは、リポジトリのオーナーがGitGuardianからの警告に応答しなかったため、研究者のValadon氏がKrebs on Securityに通報することを決断しました。

Valadon氏はリポジトリを発見した際「内容を深く分析する前は、すべてが偽物ではないかと思った。実際はキャリアで目にした中で最悪の漏洩だ」と述べています。「平文CSVに保存されたパスワード、Gitにコミットされたバックアップ、GitHubの秘密情報検出機能を無効化する明示的なコマンド——これは明らかに個人のミスだが、内部の慣行を露わにしている可能性がある」とValadon氏は評しています(Krebs on Security)。

漏洩した内容の詳細——「最悪の政府データ漏洩の一つ」

公開されていたファイル

Krebs on Securityが確認したリポジトリに含まれていたファイルは以下の通りです。

「importantAWStokens.txt」として、3つのAmazon AWS GovCloudサーバーの管理者認証情報が含まれていました。「AWS-Workspace-Firefox-Passwords.csv」として、CISAの数十の内部システムへのユーザー名とパスワードが平文(暗号化なし)で記載されたスプレッドシートです。その中には「LZ-DSO(Landing Zone DevSecOps)」と思われるCISAの安全なコード開発環境も含まれています。「kube-config.txt」として、Kubernetes環境の設定ファイルです。さらに「AWS-Workspace-Bookmarks-April-6-2026.html」など、CISAが内部でソフトウェアをどのようにビルド・テスト・展開しているかを詳細に示すファイル群も含まれていました。

特に深刻な「Artifactory」へのアクセス

セキュリティ研究者のPhilippe Caturegli氏(Seralys)は最も危険な要素として「Artifactory」の認証情報漏洩を挙げています。ArtifactoryはCISAがソフトウェア構築に使用するすべてのコードパッケージのリポジトリであり、「ラテラルムーブメント(横展開)の絶好の踏み台だ。ソフトウェアパッケージにバックドアを埋め込めば、CISAが新しいものをビルドするたびにバックドアが至るところに展開される」と述べています(Krebs on Security)。これはいわゆる「SolarWinds型のソフトウェアサプライチェーン攻撃」と同じ手法です。

パスワードの脆弱性

漏洩したパスワードの多くは「プラットフォーム名+年」という形式(例:「platform2026」等)のものであり、内部不正や内部ネットワークへの侵入後の横展開にも容易に悪用されうる水準でした。Caturegli氏は「たとえこれらの認証情報が外部に漏洩しなかったとしても、任意の組織にとって深刻なセキュリティ上の脅威だ」と指摘しています。

対応の問題点——リポジトリ削除後も48時間AWSキーが有効

Krebs on SecurityとSeralysがCISAに通報した後、問題のGitHubアカウントは速やかにオフラインになりました。しかし公開されたAWSキーはリポジトリ削除後も48時間にわたって有効な状態が続いたとCaturegli氏は述べており、インシデント対応の初動に重大な問題があったことを示しています(Krebs on Security)。

Caturegli氏は「これは(CISA)コントラクターがGitHubを仕事用ラップトップと自宅のコンピューター間でファイルを同期するために使っていたのではないかと推測している。2025年11月以降このリポジトリへの定期的なコミットが確認されている」と述べています。

CISAの3割人員削減という背景——「ミスが起きるべくして起きた完璧な嵐」

CyberScoopが指摘するように、本件はCISAの組織的な弱体化という文脈と切り離して考えることはできません。

Krebs on Securityによれば、CISAは第2次トランプ政権発足以降、職員の約3分の1を失っており(早期退職・買い取り・辞職)、通常予算・人員の一部しか残っていない状態で運営されています。Rubrikの公共部門CTO・Travis Rosiek氏はCyberScoopへの取材に「サイバーセキュリティ人材の慢性的な不足・予算不足・高い人員離職率・複雑化する脅威環境が、このシナリオを引き起こす完璧な嵐を作り出した」と述べています。

議会の反応——民主党議員がCISA長官代理に説明要求

本件を受け、米連邦議会では以下の動きが生じています(CyberScoop)。

下院国土安全保障委員会として、同委員会のスタッフがCISAにスタッフレベルのブリーフィングを要求しています。Bennie Thompson下院議員・Delia Ramirez下院議員(民主党)は2026年5月19日付でCISA長官代理のNick Andersen氏に書簡を送付し、「この深刻なセキュリティ上の不手際がどのように発生したのか、潜在的なセキュリティ上の影響、是正措置、問題のコントラクター要員に関連する是正措置、および将来の同様の活動の監視・防止のための取り組みについて把握したい」と述べています。Maggie Hassan上院議員(民主・ニューハンプシャー州)は同日、Andersen氏に機密ブリーフィングを要求する書簡を送付し「この報告されたインシデントは、まさにサイバー侵害の防止を担う機関においてこのようなセキュリティ上の不手際がどのように起きうるかについて、特に米国の重要インフラに対する重大なサイバー脅威が存在するこの時期における内部方針・手順に関して、深刻な疑問を提起する」と述べています(Hassan上院議員書簡・Axios経由)。

両書簡ともに、CISAにおける人員・予算削減が本件の潜在的な一因である可能性を指摘しています。


セキュリティ専門家の評価

WatchTower創業者Ben Harris氏(CyberScoop)は「CISAに起きたような露出は、残念ながら組織が非常に機密性の高い認証情報を意図せずウェブ上にさらす一般的で繰り返されるやり方だ」と述べています。

Infoblox脅威インテリジェンス上級ディレクターDave Mitchell氏は「GitHubの設定ミスは私が夜も眠れない悩みの種の一つだ。ひとつの偶発的なアップロードや設定ミスで大規模なインシデントが発生する。脅威アクターが高度な技術を使ってあなたを侵害する必要はない——鍵がすでにカウンターの上に置いてあるのだから」とコメントしています。

日本の重要インフラ・サイバー情報共有体制への影響

今回の事案は米国内の問題にとどまらず、日本のサイバーセキュリティ体制にも影響を及ぼす可能性があります。

日米サイバー脅威インテリジェンス共有への影響として、日本のNISC(内閣サイバーセキュリティセンター)・警察庁・金融庁・経産省等はCISAが発出する脅威情報・脆弱性情報(特にKEVカタログ)を重要な参照情報として活用しています。CISAのAWS GovCloud環境が仮に国家支援型の攻撃者に長期間アクセスされていた場合、CISAがどの脅威に関する情報を把握しているかが攻撃者に知られていた可能性があり、日米の情報共有体制に使われている内容も含めて精査が必要です。

重要インフラ事業者への含意として、日本の電力・金融・情報通信・交通分野の重要インフラ事業者の多くはCISAのセキュリティガイドライン・フレームワーク・警告情報を参照しています。CISAの内部開発環境(LZ-DSO)やArtifactoryが侵害されていた場合、CISAが開発・配布するセキュリティツール・ガイドライン等の信頼性について確認が必要です。

CISAの権威低下のリスクとして、国土安全保障委員会の指摘にある通り「サイバー侵害を防ぐことを担っている機関で起きたセキュリティ上の不手際」はCISAの国際的な権威を大きく傷つけます。Volt Typhoon・Salt Typhoon等の中国系脅威アクターへの対応においてCISAが中心的役割を担ってきた中、CISAの弱体化は日本を含むアジア太平洋地域のサイバー防衛体制に影響を及ぼす懸念があります。

GitHubにおける認証情報管理の再確認として、本件は「GitHubのデフォルトのシークレット検出機能を無効化する」という設定ミスが引き金となりました。日本の政府機関・重要インフラ事業者・企業において、GitHubを含むコード管理プラットフォームでの認証情報の誤公開がないかを改めて確認することを推奨します。

CISAの公式声明

CISAの広報担当者はKrebs on Security・TechCrunch・CyberScoopに対し以下の声明を発出しています。「サイバーセキュリティ・インフラセキュリティ庁は、報告された露出を認識しており、引き続き状況を調査しています。現時点では、本インシデントの結果として機密データが侵害されたという証拠はありません。チームメンバーに対して誠実さと運用上の意識の最高基準を求めていますが、将来の発生を防止するための追加的な安全対策を実施するべく取り組んでいます。」


参考情報(1次ソース)