GitHubは9月21日(米国時間)、「Security alert: new phishing campaign targets GitHub users|The GitHub Blog」において、脅威者がCircleCIになりすましてユーザーの認証情報や二要素認証(2FA: Two-Factor Authentication)コードを窃取するフィッシングキャンペーンを展開し、GitHubユーザーを標的にしていたことを伝えた。GitHubはこのキャンペーンを2022年9月16日に知ったと伝えており、GitHub自体は被害を受けなかったが、多くの被害組織が影響を受けたと報告している。

Security alert: new phishing campaign targets GitHub users|The GitHub Blog

このキャンペーンでは、ユーザーのCircleCIセッションの期限切れを装いGitHubの認証情報を使ってログインさせようとするフィッシングメッセージが使われていたという。リンクをクリックするとGitHubのログインページのように見えるフィッシングサイトに移動され、入力された認証情報が窃取されてしまうとのことだ。

タイムベースド・ワンタイムパスワード(TOTP: Time-based One-time Password)ベースの二要素認証を有効にしていても、フィッシングサイトがタイムベースド・ワンタイムパスワードコードを攻撃者とGitHubにリアルタイムで中継することで、保護されているアカウントに侵入することが可能と説明されている。なお、ハードウェアセキュリティキーで保護されているアカウントは、この攻撃に対して脆弱ではないとも報告されている。

GitHubはこのキャンペーンを分析した後、GitHubユーザーを守るために攻撃に利用されたアカウントの一時停止や影響を受けたユーザーのパスワードのリセット、脅威者が追加した認証情報を削除するなどの処置を行ったと述べている。また影響を受けたすべてのユーザーおよび組織に対して通知を送っており、通知メールが届いていない場合はこのキャンペーンの影響を受けていないと説明している。さらに、GitHubは今回のようなフィッシング攻撃を防ぐために、ハードウェアセキュリティキーまたはWebAuthn 2FAの使用を検討するよう、呼びかけている。