CISA の管理者が GitHub に AWS GovCloud 向けのキーを漏洩させた：CISA 管理者、AWS GovCloud キーを GitHub で公開

先週末まで、サイバーセキュリティおよびインフラストラクチャ保安局（CISA）の請負業者が運営する GitHub の公開レポジトリがあり、同局の複数の高度な権限を有する AWS GovCloud アカウントへの認証情報や多数の CISA 内部システムへのアクセス情報を露呈していました。セキュリティ専門家によれば、この公開アーカイブには、CISA がソフトウェアを開発・テストし、内部で展開する方法を詳述したファイルが含まれており、近年の政府データ漏洩事件の中で特に重大なものとされています。

5 月 15 日、セキュリティ企業 GitGuardian の調査員を務める Guillaume Valadon 氏から KrebsOnSecurity は情報を入手しました。Valadon 氏の同社は、GitHub などの公開コードレポジトリを常時監視し、露呈した機密データを自動的に検知して該当アカウントにアラートを发出しています。Valadon 氏は、本案の所有者が連絡に応じず、かつ露出されている情報が高感度であると判断し、直接アプローチを行ったと述べました。

もはや存在しない「Private CISA」というレポジトリの編集済みのスクリーンショットです（CISA の請負業者が管理）。

Valadon 氏が指摘した GitHub レポジトリは「Private-CISA」の名前を持ち、CISA/国務省（DHS）の内部認証情報やファイルを多数保有していました。これにはクラウドキー、トークン、平文パスワード、ログ、およびその他の機密となる CISA の資産が含まれていました。

Valadon 氏は、露呈した CISA の認証情報は、セキュリティ衛生上の不十分さによる典型的な例であると指摘し、問題となった GitHub アカウントのコミットログには、GitHub がデフォルトで有効にしていた「ユーザーが SSH キーやその他の機密を公開コードレポジトリにアップロードすることをブロックする設定」が CISA の管理者によって無効化されていたことが示されていると付け加えました。

平文 CSV ファイルとしてパスワードを保管し、Git にバックアップを保持しつつ、GitHub の機密検知機能を無効化する明確なコマンドを実行していました」と Valadon 氏は電子メールで書きました。「内容をより深く分析する前は、すべて偽装であることを信じていましたが、実際に最悪の漏洩の一つだとわかりました。これは明らかに個人のミスですが、内部の実践が露見した可能性もあります」とのことです。

露呈されたファイルの一つ「importantAWStokens」には、3 つの Amazon AWS GovCloud サーバーへの管理用認証情報が含まれており、別の公開 GitHub レポジトリで露呈された「AWS-Workspace-Firefox-Passwords.csv」には、CISA 内部システムの数十に及ぶユーザ名と平文パスワードがリストアップされていました。Caturegli 氏によると、これらのシステムには「LZ-DSO」と呼ばれるものが含まれており、これはおそらく社内の安全なコード開発環境を指す「Landing Zone DevSecOps」の略であると考えられています。

セキュリティコンサルティング企業 Seralys の設立者 Philippe Caturegli 氏は、検証のため AWS キーのみを試し、露呈されたアカウントがどの内部システムにアクセスできるかを確認したと述べています。Caturegli 氏は、CISA の機密を暴露した GitHub アカウントの振る舞いは、レポジトリを精選されたプロジェクト用ではなく、個人の利用者によって作業用スクラッチパッドや同期メカニズムとして使用しているパターンに一致すると指摘しました。

「CISA と関連するメールアドレスと個人のメールアドレスの両方が使用されている点は、このレポジトリが異なる設定環境を横断的に利用していた可能性を示唆しています」と Caturegli 氏は観察し、「利用可能な Git メタデータ単独では、どのエンドポイントまたはデバイスが使用されたかを証明できません」と付け加えました。

Private CISA GitHub レポジトリには、重要な CISA GovCloud リソースに対する数十の平文認証情報が含まれていました。

Caturegli 氏は、露呈された認証情報を使って高権限レベルで 3 つの AWS GovCloud アカウントに認証できることを検証したと述べています。同アーカイブにはまた、ソフトウェア構築に使用されているコードパッケージのすべてを格納した CISA の内部「artifactory」に対する平文認証情報も含まれており、これはCISA システム内に恒久的な足場を持つことを目指す悪意ある攻撃者にとって極めて魅力的な標的になるとしました。

「これが後方移動（laterality）における最適な場所です」と彼は述べました。「一部のソフトウェアパッケージにバックドアを埋め込み、新たなものを構築するたびにそのバックドアを左も右も展開してしまうのです」。

この露出事件に関する問いかけに対し、CISA の広報担当者は同局が報告された露出について周知しており、状況をさらに調査中であると回答しました。

「現時点では、この出来事が原因で機密データが侵害されたという根拠はありません」と CISA の広報担当者は述べました。「我々はチームメンバーに対して誠実さと運用上の警覚性を最優先の基準で要求し続けていますが、将来のような事態を防ぐために追加の防衛策を実施することを目指しています」。

GitHub アカウントとそれによるパスワードの暴露状況を調査した結果、「Private CISA」というレポジトリは、バージニア州ダルレスに本部を置く政府請負業者「Nightwing」の従業員が管理していたことがわかりました。Nightwing 氏はコメントを拒否し、関連問い合わせについては CISA に委ねたとしました。

CISA はデータ暴露の潜在的期間について質問には答えていませんが、Caturegli 氏によると、「Private CISA」レポジトリは 2025 年 11 月 13 日に作成されました。請負業者の GitHub アカウント自体はさらに遡り、2018 年 9 月に作成されています。

KrebsOnSecurity と Seralys が CISA にこの暴露について通知した直後、Private CISA レポジトリを含む GitHub アカウントはオフラインに切り替えられました。しかし、Caturegli 氏は AWS キーが正当性を失うことなく、理由不明のままさらに 48 時間存在し続けたと述べました。

現在、CISA は通常の予算や人員水準の僅かな部分だけで運営されています。同局は第 2 トランプ政権発足以来、早期退職、買い戻し、辞任などを伴う一連の行動により、労働力の約 3 分の 1 を失っています。

もはや存在しない「Private CISA」レポジトリでは、請負業者が多数の内部リソースに対して推測しやすいパスワードを使用していたことも示されていました。例えば、多くの認証情報はプラットフォーム名を年号に続く形式で構成されたパスワードを使用していました。Caturegli 氏は、たとえこれらの認証情報が外部に暴露されていなくても、こうした実践はどの組織にとっても深刻なセキュリティ脅威になると指摘し、脅威アクターが標的システムへの初期アクセスを確立した後、内部ネットワークで露呈した主要認証情報を使用して活動範囲を拡大させる傾向があることから述べました。

「私が推測するのは、[CISA の請負業者] がこの GitHub をワークステーションと自宅コンピュータとの間でのファイル同期のために利用していたことです。彼は 2025 年 11 月以来定期的にコミットを行っているからです」と Caturegli 氏は述べています。「これはどの会社にとっても恥ずべき漏洩ですが、今回の場合は CISA という事実がより一層深刻にしています」。