GitHubは米国時間11月5日、謎の人物によって「GitHub.com」と「GitHub Enterprise」のソースコードだとされるものが共有されたことを受け、ハッキングされたとのうわさを否定した。
提供:ZDNet
ソースコードだと“されている”コードは、GitHubのデジタルミレニアム著作権法(DMCA)セクションへのコミットの形でリークされた。
また、このコミットはGitHub 最高経営責任者(CEO)のNat Friedman氏からのものであるかのように偽装されていた。
しかしFriedman氏は、Y Combinatorの「Hacker News」へのメッセージ投稿の中で、同コミットは自分が実行したものではなく、またGitHubは一切ハッキングされていないと述べた。
Friedman氏によると、「リークされたソースコード」はGitHubの全てを含んでいるわけではなく、「GitHub Enterprise Server」のコードのみだという。このコードはGitHub Enterprise Serverのバージョンの一つであり、同製品の持つメリットを享受しつつ、セキュリティ上の理由によりソースコードをローカル環境で管理したいという企業向けに用意された、企業のオンプレミスサーバー向けのものだという。
また同氏によるとこのソースコードは、GitHub自身のミスによって数カ月前に流出していたという。同氏は、GitHubのエンジニアが誤って「軽量化/難読化されていないGitHub Enterprise Serverのソースコードのtarballを一部の顧客に出荷した」と述べた。
提供:ZDNet
GitHubのDMCAセクションにソースコードをコミットした人物が悪用していた2件の脆弱性についてFriedman氏は、GitHub側で修正を実施し、権限を有していない人物が偽のアイデンティティーで他者のプロジェクトにコードを追加できないようにすると約束した。
同氏は「手短に述べると、全てにおいて問題はなく、状況はいつも通り正常で、ロバート・ブラウニングの詩『春の朝』にあるように『揚雲雀(あげひばり)なのりいで、蝸牛(カタツムリ)枝に這ひ(中略)すべて世は事も無し」(上田敏訳)だ」と述べた。
初めての話ではない
とは言うものの、今回のような話はGitHubに初めて降りかかったものではない。
2件の脆弱性のうちの1件は、ほんの数日前にあるセキュリティリサーチャーが「youtube-dl」ライブラリーのソースコードをGitHubのDMCAセクションに追加した際に用いられていた。
このセキュリティリサーチャーの行動は、同ライブラリーがDMCAに違反しているという、米国レコード協会(RIAA)からの釈然としない削除要求をGitHubが認めたことに対して抗議するものだった。
提供:ZDNet
GitHub Enterprise Serverのソースコードをコミットした謎の人物はその意図を説明していない。しかしこの人物も、DMCAを根拠とするRIAAからの削除要求をGitHubが認め、YouTubeやその他のサービスから生の音声ファイルや動画ファイルをダウンロードできるようにするプロジェクトであるyoutube-dlを削除するという決定を下したことに対して抗議していると考えられている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。