Microsoft傘下のGitHubは、開発者と2要素認証(2FA)セキュリティに関する新たなルールを導入する。
GitHubは米国時間5月4日、「アカウントのセキュリティ向上を通じて、ソフトウェアエコシステムの安全性を確保するプラットフォーム全体の取り組みの一環」として、既存の認証ルールを変更することを明らかにした。
GitHubの最高セキュリティ責任者(CSO)Mike Hanley氏によると、GitHubにコードを提供するすべての開発者は、2023年末までに、少なくとも1つの形式の2FAを有効化しなければならない。
オープンソースプロジェクトは人気が高く、広範に利用されており、個人と企業の両方にとって重要なリソースだ。しかし、開発者のアカウントが攻撃者に侵害されると、レポジトリーの乗っ取り、データの窃盗、プロジェクトの中断などを招く可能性がある。
Salesforce傘下のクラウドプラットフォームプロバイダーHerokuは、4月にセキュリティインシデントがあったことを公表した。OAuthトークンが盗まれ、同社のプライベートGitリポジトリーのサブセットが侵害されたため、顧客リポジトリーが不正にアクセスされる可能性があった。
GitHubによると、ソフトウェアのサプライチェーンは「開発者から始まる」ため、これを念頭に置いて、管理を強化してきた。また開発者は、「頻繁にソーシャルエンジニアリングとアカウント乗っ取りの標的にされている」という。
最近、GitHubのnpmレジストリーに不正なパッケージがアップロードされたことで、ソフトウェアサプライチェーンのセキュリティが注目を集めた。
多くの場合、オープンソースプロジェクトに打撃を与えるのは、ゼロデイ脆弱性ではない。弱いパスワードや盗まれた情報など、基本的な脆弱性がサイバー攻撃で悪用される。
しかしGitHubは、セキュリティ強化とユーザー体験の間にトレードオフがあることを認識している。そのため2023年という期限は、組織がGitHubドメインを「最適化」するための猶予期間にもなる。
GitHubにとって、2FA導入は差し迫った問題になっているようだ。GitHubで、何らかの2FAを使用しているアクティブユーザーは16.5%、npmユーザーにいたっては、わずか6.44%にとどまっている。
GitHubはすでに、ユーザー名とパスワードだけを用いる基本的な認証方法は不十分だという考えを示しており、OAuthトークンもしくはAccessトークンの統合を推奨している。また、2FAが有効化されていないアカウント向けに、電子メールを用いたデバイス認証も導入している。
「ソフトウェアサプライチェーンの全体的なセキュリティを改善すべく、プラットフォームと業界に深く投資しているが、アカウントの侵害という継続的なリスクに対処しなければ、そうした投資の価値は根本的に制限されてしまう」と、Hanley氏は説明した。「われわれはこの課題に対応するために、個々の開発者の安全性に対する慣習を通じて、サプライチェーンのセキュリティ向上に取り組んでいく」
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。