デジタルゴーストの囁きと、私たちの甘い夢

<div class="separator" style="clear: both;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgMB5klHXJIR7Aokovh6YDhjfaFAzVpinL1MwngPCMscx0sl7WFMrhCiWewWW6nSTnTGXfvw4CWLSQotMfe6kIgBV1BdSJg-IowhaLYRrLjqASqaHp3uZcyCB9_yfbPiIa4_SJCsYoSy8caMLCEBwAsrt07_q7tT_u26hpum0LPLW7lalh0TVn20Y0oVKs/s1024/ChatGPT%20Image%20Sep%2011,%202025,%2004_53_07%20AM.png" style="display: block; padding: 1em 0; text-align: center; "><img alt="" border="0" width="600" data-original-height="1024" data-original-width="1024" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgMB5klHXJIR7Aokovh6YDhjfaFAzVpinL1MwngPCMscx0sl7WFMrhCiWewWW6nSTnTGXfvw4CWLSQotMfe6kIgBV1BdSJg-IowhaLYRrLjqASqaHp3uZcyCB9_yfbPiIa4_SJCsYoSy8caMLCEBwAsrt07_q7tT_u26hpum0LPLW7lalh0TVn20Y0oVKs/s600/ChatGPT%20Image%20Sep%2011,%202025,%2004_53_07%20AM.png"/></a></div> --- ### 記事の概要 * **テーマ:** GitHub Actionsを悪用した「GhostAction」サプライチェーン攻撃 * **攻撃手法:** フィッシング等でメンテナーアカウントを乗っ取り、不正なワークフローをリポジトリに注入してシークレットを窃取 * **被害規模:** 3,000件以上のシークレットが流出。数百アカウントが影響 * **主な標的:** PyPI、npm、DockerHubといった主要な開発エコシステム * **対策のポイント:** 1. GitHub Actionsの権限を最小化（最小権限の原則） 2. シークレット管理を長期トークンからOIDCベースの一時トークンへ移行 3. シークレットスキャンの定期運用 * **その他:** 2段階認証（2FA）の徹底、チームメンバーへのセキュリティ教育も重要 --- なんだか、ホラー映画のタイトルみたいだ。**「GhostAction」**。その響きを聞いただけで、背筋がゾクリと冷たくなった。開発の世界に棲みつく幽霊、といったところだろうか。私たちのコードのすぐそばに、音もなく、姿もなく忍び寄り、大切なものをかすめ取っていく。そんなデジタルな怪談が、今まさに現実のものとして、世界中で語られている。 考えてみてほしい。私たちは、GitHub Actionsという便利な「魔法の杖」を手に入れた。退屈で繰り返しの多い作業を、瞬きする間に終わらせてくれる。まるで、小さな精霊が私たちの代わりに働いてくれているかのようだ。だが、その精霊の家に入り込み、勝手に家具を盗み出す泥棒がいたら？それが今回の事件だ。フィッシングという、まるで時代遅れのトリックを使って、メンテナーという名の「家の主人」が鍵を奪われた。そしてその鍵で、**3,000個以上**の**「シークレット」**、つまりは私たちの財産を根こそぎ盗み出していった。これは、もはやただの事件ではない。テクノロジーの進化がもたらした、新たな悪夢なのだ。 この悪夢が、どうしてそんなにも恐ろしいのか。胸に手を当てて、静かに考えてみてほしい。 ### 見えざるゴーストの足音 #### 1. 見えない場所で広がる感染 今回の攻撃は、直接あなたのプロジェクトを狙ったわけではないかもしれない。しかし、あなたの使っているnpmパッケージ、PyPIライブラリ、あるいはDockerコンテナ……それらの中に、この幽霊が潜んでいたとしたら？まるで、隣の家の火事が、風に乗って自分の家の軒先に飛び火するようなものだ。現代の開発は、互いに複雑に絡み合ったエコシステムの上で成り立っている。だからこそ、どこか遠い場所で起きた小さな事件が、気づかぬうちに自分の足元を揺るがすことがある。その見えない感染ルートこそが、この攻撃の最も恐ろしい部分なのだ。 #### 2. 日常の喧騒に紛れる悲鳴 GitHub Actionsは、私たちの日常にあまりにも溶け込んでいる。毎日のように流れる通知、緑色に光るチェックマーク。その便利さゆえに、私たちは「裏で何が走っているか」を気にしなくなりがちだ。今回のように、不正なワークフローが一つ追加されたところで、何百、何千と流れてくる通知の中に埋もれてしまえば、誰もその「悲鳴」に気づかない。便利な自動化という甘い夢に浸っている間に、ゴーストは静かに、そして着実に獲物を手に入れていく。 #### 3. 消えた鍵の再発行という地獄 もし、あなたの家の鍵が盗まれたら、どうする？すべての鍵穴を交換しなければならない。今回の事件も同じだ。流出したトークンやAPIキーは、すべて再発行しなければならない。それは、単に新しい鍵を作るだけではない。プロダクトを一度止め、関連するすべてのシステムを調整し、チーム全体で大騒ぎしなければならない。それは、時間とコストという名の、途方もないペナルティだ。その代償は、私たちの想像をはるかに超えるほどに重い。 ### ゴーストを追い払うための三つの光 だが、絶望する必要はない。このデジタルゴーストには、ちゃんと弱点がある。今回の事件は、私たちに「どうすれば身を守れるか」を教えてくれた、ある意味では最高の「教材」なのだ。 #### 1. 権限という名の「防護壁」を築け GitHub Actionsは、デフォルトで何でもできる「最強の権限」を持ちがちだ。しかし、本当にそんなに強い権限が必要だろうか？　私たちは、permissions: フィールドを使って、ワークフローの権限を最小限に絞るべきだ。「この作業にはこれだけの権限しか必要ない」と明確にすることで、万が一の乗っ取り時にも、ゴーストが盗める範囲を大幅に狭められる。これは、自宅の部屋ごとに違う鍵をつけるようなものだ。 #### 2. トークンを「使い捨て」にする知恵 これまで私たちは、長く使える「合鍵」を大量に作って配り、シークレットを管理してきた。しかし、一度盗まれたら最後だ。そこで、これからはOpenID Connect（OIDC）という新しい「魔法」を使おう。これは、毎回新しい、短い有効期限のトークンを発行する仕組みだ。たとえ盗まれても、すぐに無効になる使い捨ての鍵なら、被害はごくわずかで済む。これは、リスクを最小限に抑えるための、賢い知恵だ。 #### 3. シークレットを「見つける」習慣 あなたのコードの中に、うっかりとAPIキーやパスワードが書き込まれていないか？　私たちは忙しいあまり、そんな小さなミスを見落としがちだ。だからこそ、GitHubやセキュリティツールが提供する「シークレットスキャン」を味方につけよう。これは、まるで警察犬のように、コードの中から不審な匂いを嗅ぎ分け、見つけ次第警告してくれる。この習慣を身につけるだけで、情報漏洩の芽を事前に摘むことができるのだ。 --- ### まとめ 「GhostAction」は、まるで私たちに「便利さの裏には、必ずリスクが潜んでいる」と囁きかけているようだ。それは、私たちの甘い夢を打ち砕き、現実と向き合えと促す、鋭い警鐘。しかし、その声に耳を傾け、適切な対策を講じれば、このデジタルゴーストに怯える必要はない。 「うちのプロジェクトは大丈夫」という、根拠のない安心感は捨ててしまおう。そう、今すぐにだ。あなたのコードを守るために、一つひとつ、できることから始めてみてほしい。この世に完璧なセキュリティはないけれど、確かな努力は、必ずあなたとチームを守ってくれる。その信じる心が、最大の「お祓い」になるはずだから。 --- ### 参考リンク * [The GhostAction Campaign: 3,325 Secrets Stolen Through Compromised GitHub Workflows (GitGuardian Blog)](https://blog.gitguardian.com/ghostaction-campaign-3-325-secrets-stolen-through-compromised-github-workflows) * [GhostAction campaign steals 3325 secrets in GitHub supply chain attack (CSO Online)](https://www.csoonline.com/article/4052826/ghostaction-campaign-steals-3325-secrets-in-github-supply-chain-attack.html) * [More than 800 GitHub repos affected in secret-stealing campaign (SC Media)](https://www.scworld.com/news/more-than-800-github-repos-affected-in-secret-stealing-campaign) * [Hackers steal 3,325 secrets in GhostAction GitHub supply chain attack (Bleeping Computer)](https://www.bleepingcomputer.com/news/security/hackers-steal-3-325-secrets-in-ghostaction-github-supply-chain-attack/)