CISA、自らの認証 情報漏洩の教訓を公表

セキュリティニュース

投稿日時: 更新日時:

CISA、自らの認証 情報漏洩の教訓を公表

米サイバーセキュリティ・インフラセキュリティ庁(CISA)は2026年7月11日、自らが被った認証情報漏洩インシデントについて、対応の経緯と教訓をまとめた文書を公式サイトで公表しました。委託業者の担当者が個人のGitHubリポジトリにAWS GovCloudの管理者権限を含む認証情報を約半年間公開し続けていたという事案で、重要インフラのサイバー防御を担う当局自身が、平時から企業に呼びかけている基本的なセキュリティ対策の不備を露呈する形となりました。CISAはこの事案を包み隠さず公表し、他組織への教訓として共有する姿勢を強調しています。

サマリー

  • CISAは2026年7月11日、公式サイトで「Lessons from CISA’s Cyber Incident」と題した文書を公開し、自らが受けた認証情報漏洩インシデントの経緯と教訓を詳細に説明した
  • 発端は2026年5月15日、調査報道記者からCISAへの問い合わせで、AWS GovCloudの内部認証情報が「Private-CISA」という名称の公開GitHubリポジトリで閲覧可能な状態になっていることが伝えられた
  • このリポジトリは、CISAの委託業者Nightwingの担当者が個人的に運用していたもので、2025年11月から2026年5月まで、約6カ月間にわたり監視されないまま公開され続けていたことが判明した
  • リポジトリには、3台のAWS GovCloudサーバーの管理者認証情報を含む「importantAWStokens」というファイルや、多数の内部システムの平文ユーザー名・パスワードを記載した「AWS-Workspace-Firefox-Passwords.csv」というファイルなどが含まれていた
  • フォレンジック調査の結果、漏洩した認証情報がCISAの環境外で使用された形跡はなく、顧客データや業務上重要なデータの流出も確認されなかったとしている
  • CISAは、漏洩した特定の鍵だけでなく、当該担当者が管理者権限を持っていたすべての環境の認証情報を再発行し、公開リポジトリへのアップロード制限やアクセス許可・拒否リストの見直しといった是正措置を講じた
  • CISAは自己評価の中で、GitHub・クラウド関連のインシデント対応手順書が事前に整備されていなかったこと、報告窓口が明確でなく研究者が複数の経路を試す必要があったこと、認証情報の一斉ローテーションが想定より時間を要したことを、明確な課題として認めている
項目 内容
公表日 2026年7月11日(CISA公式サイト)
インシデント発覚のきっかけ 2026年5月15日、調査報道記者からCISAへの連絡
発見者 セキュリティ企業GitGuardianの研究者Guillaume Valadon氏
公開リポジトリ名 「Private-CISA」(委託業者Nightwingの担当者による個人アカウント)
公開されていた期間 2025年11月〜2026年5月ごろ(約6カ月間)
主な漏洩内容 AWS GovCloud管理者認証情報(3台分)、内部システムの平文パスワード、IaC(Infrastructure as Code)・ビルドスクリプト等
実害の有無 環境外での認証情報の使用は確認されず、顧客・業務データの流出もなし
主な是正措置 全環境での認証情報再発行、公開リポジトリへのアップロード制限、アクセス許可・拒否リストの見直し
CISAが認めた主な課題 GitHub/クラウド向けインシデント対応手順書の未整備、報告窓口の不明確さ、鍵のローテーションに要した時間

何が起きたか

CISAの公表内容および複数の海外メディアの報道によれば、事の発端は2026年5月15日(金)、調査報道記者からCISAへ、AWS GovCloudの内部認証情報が公開リポジトリ上で閲覧可能になっているとの問い合わせが入ったことでした。

この記者に情報を提供したのは、公開コードリポジトリを常時スキャンして漏えいした機密情報を検出するセキュリティ企業GitGuardianの研究者Guillaume Valadon氏です。同氏は5月14日にこの漏洩を発見し、リポジトリの持ち主に是正を求める複数回の連絡を試みたものの応答がなかったため、記者への連絡に踏み切ったとされています。

問題のリポジトリは「Private-CISA」という名称で、CISAの公式GitHub組織の一部ではなく、委託業者Nightwingに所属する担当者が運用する個人アカウント上に存在していました。フォレンジック調査により、このリポジトリは2025年11月13日に作成され、2026年5月に問題が指摘されるまでの約6カ月間、監視されないまま公開され続けていたことが判明しています。

リポジトリには、クラウドインフラを自動的に構築するためにCISAのビルド・デプロイ用リポジトリのコピー(Infrastructure as Codeやビルドスクリプトを含む)がアップロードされており、あわせて管理者用およびビルド用の認証情報も含まれていました。

具体的には、「importantAWStokens」という名称のファイルに3台のAWS GovCloudサーバーの管理者認証情報が、「AWS-Workspace-Firefox-Passwords.csv」という名称のファイルに、CISAの内部開発環境を含む多数の内部システムの平文ユーザー名・パスワードが記載されていたとされています。セキュリティ専門家は、このリポジトリのコミット履歴から、担当者がGitHubの標準機能である「シークレットの公開を防ぐ保護機能」を意図的に無効化していたことも確認しています。

CISAの対応と自己評価

CISAは通知を受けた同日のうちに内部のインシデント対応を開始し、リポジトリを非公開化してフォレンジック用のコピーを保存するとともに、開発環境の停止、関連する認証情報のリセット、当該担当者のシステムアクセス権の剥奪という初動対応を迅速に実施しました。ログ分析の結果、漏洩した認証情報がCISAの環境外で使用された形跡はなく、顧客データや業務上重要なデータの流出も確認されなかったとされています。

是正措置としては、漏洩が指摘された特定の鍵だけにとどまらず、当該担当者が管理者権限を持っていたすべての環境にわたって認証情報を再発行したほか、コードリポジトリのアクセス許可・拒否リストの調整や、公開リポジトリへのアップロード制限の強化が実施されました。

CISAは今回の公表の中で、対応の中で機能した点と、課題として残った点の両方を率直に記載しています。機能した点としては、外部の研究者からの報告を真摯に受け止めたこと、本番環境だけでなく開発環境にもゼロトラストの原則を適用していたこと、そして強固なログ管理体制により迅速な調査が可能だったことを挙げています。

一方で課題としては、GitHubやクラウド環境を対象としたインシデント対応の手順書(プレイブック)が事前に整備されておらず、対応初期にその場で手順書を作成せざるを得なかったため初動が遅れたこと、組織自身が被害者となる事案とCISAの製品・顧客に影響する脆弱性を区別する報告窓口が明確でなく、研究者が委託業者への直接連絡やCISAの脆弱性開示プラットフォームへの提出、最終的に記者への連絡という複数の経路を試さざるを得なかったこと、そして連邦政府・業界との相互接続の複雑さから、暗号鍵のローテーションに想定以上の時間を要したことを認めています。

議会からの説明要求と専門家の指摘

海外メディアの報道によれば、事案が公になった直後から米議会の複数の議員がCISAに対し説明を求める動きに出ています。

下院国土安全保障委員会の民主党筆頭議員であるベニー・トンプソン下院議員と同委員会サイバー小委員会の民主党筆頭議員デリア・ラミレス下院議員は連名で、事案発生の経緯・想定される被害・是正措置・関与した委託業者要員への対応・再発防止策について説明を求める書簡をCISAの暫定長官宛てに送付しました。

上院からもマギー・ハッサン上院議員が、どのシステムが影響を受けたのか、CISAがどのようなフォレンジック調査を行ったのか、どのような是正措置を取ったのかを問う書簡を送っており、こうした事態が発生しうること自体が、サイバー攻撃の防止を任務とする当局の内部方針・手続きに深刻な疑問を投げかけると指摘しています。

セキュリティ専門家からは、今回の事案がCISA固有の問題というより、組織が意図せず機密性の高い認証情報を外部へ流出させてしまうという、多くの組織で日常的に起きている構造的な問題を象徴する事例だとの声も上がっています。一方で、セキュリティ企業Akeyless社の技術分析は、より根本的な論点として、そもそも半永久的に有効な静的な認証情報が、コピー可能な文字列としてどこかに存在してしまうこと自体が問題の核心であると指摘しています。管理者権限を持つクラウド認証情報を、有効期限が数分程度の動的な一時認証情報に置き換える設計を採用していれば、こうした長期間にわたる漏洩事態そのものが構造的に発生しえなかったという主張です。

情報システム部門への示唆

今回の事案は、平時から他組織にセキュリティ対策を助言する立場にある政府機関自身が、委託先の管理体制の甘さによって重大な情報漏洩を起こしうるという、委託先管理の難しさを改めて示しています。自組織で外部の委託業者・契約社員にコード開発やインフラ構築業務を委託している場合、業務用アカウントと個人アカウントの分離を明確なポリシーとして定め、個人のGitHubアカウントへ組織の機密情報を含むコードをアップロードすることを技術的・組織的に禁止する仕組みを整えることをお勧めします。GitHubの管理者権限があれば、シークレットの公開を防ぐ保護機能を組織全体で無効化できないよう強制するポリシー設定も有効です。

また、今回CISA自身が認めたように、GitHubやクラウド環境で機密情報が漏洩した際の対応手順書をあらかじめ用意しておくことは、初動の速さを大きく左右します。実際にインシデントが発生してから手順を一から作り始めるようでは、対応の初期段階で貴重な時間を失うことになります。あわせて、外部の研究者やセキュリティベンダーが自組織の脆弱性・情報漏洩を発見した際に、迷わず報告できる明確な窓口を用意しておくことも重要です。今回の事案では、報告経路が不明確だったために研究者が複数の手段を試さざるを得ず、結果的に対応の遅れにつながった可能性が指摘されています。

技術的な観点では、Akeyless社の指摘の通り、長期間有効な静的な認証情報をソースコードやスプレッドシートに保存する運用そのものを見直し、AWS Secrets Manager・HashiCorp Vault・Azure Key Vaultといったシークレット管理サービスを通じて、短時間で失効する動的な一時認証情報へ置き換えていくことが、今回のような漏洩の被害範囲を根本的に縮小する手段になります。CISA自身が「セキュリティインシデントの発生は『もし』ではなく『いつ』の問題だ」と述べているように、完全な予防を前提にするのではなく、漏洩が起きた場合でも被害を極小化できる設計を平時から準備しておく姿勢が、あらゆる組織にとって参考になります。

出典