GitHubがソフトウェアサプライチェーンをどのように保護しているか

サプライチェーン攻撃の急増によりオープンソースソフトウェアにリスクが生じており、GitHubはnpmエコシステム全体のセキュリティ強化を迫られています。世界最大のコードリポジトリを運営する同社は、世界中の開発者を標的としたマルウェア攻撃を迅速に阻止しています。

「オープンソースソフトウェアは、現代のソフトウェア業界の基盤です。その協調性と広大なエコシステムは、世界中の開発者に力を与え、かつてない規模で効率性と進歩を推進しています。しかし、この規模には特有の脆弱性も存在し、それらは悪意のある攻撃者によって絶えずテストされ、攻撃を受けています。そのため、オープンソースのセキュリティは、すべての人にとって重要な懸念事項となっています」と、Xavier René-Corail氏はGitHubの公式ブログに記しています。

最近のnpm攻撃の脅威

GitHubのオープンソースソフトウェアサプライチェーンへの脅威は、次々と押し寄せています。2025年9月には、npmコードパッケージへのマルウェアの注入や、最近ではインストール後のスクリプトを使ってJavaScriptベースのnpmパッケージを乗っ取る自己複製型ワーム「Shai-Huludワーム」など、一連の攻撃が発生しました。

これらの攻撃はいずれも、正体不明のハッカーによって実行された従来型のフィッシング攻撃によるものでした。悪意のある攻撃者はユーザーアカウントへのアクセスを獲得すると、一見普通の人気パッケージに見えるパッケージにコードを注入することができました。

最初の攻撃では、ハッカーは18個のnpmパッケージに悪意のあるコードを注入しました。中には、週のダウンロード数が数億に上るパッケージも含まれていました。約1週間後に発生した2回目の攻撃では、さらに多くのパッケージが侵害されました。本稿執筆時点では、複数のパッケージメンテナーによる約500個のnpmパッケージが侵害されています。

全面的にセキュリティを強化

GitHubチームはすでにこれらの脅威に対処するための計画を発表しています。正確な日付は発表されていませんが、GitHubユーザーは近い将来、多くの変更を目にすることになるでしょう。

GitHub の認証と公開オプションの更新には以下が含まれます。

• ローカル公開には 2 要素認証 (2FA) が必要です。
• 細分化されたトークンの有効期間を 7 日間に制限します。
• すべてのパッケージ リポジトリに対して「信頼できる発行元」プログラムを実装します。

認証と公開以外にも、GitHub はプラットフォーム全体に次のような変更を加える予定です。

• すべてのユーザーに対して従来のクラシック トークンを廃止します。
• 時間ベースのワンタイム パスワード (TOTP) 2FA を廃止し、Fast Identity Online (FIDO) Alliance の標準に基づいた 2FA を必須にします。
• 公開権限を持つ細分化されたトークンの有効期限を短縮します。
• デフォルトでトークンを禁止します。
• ローカル公開で 2FA をバイパスするオプションを削除します。
• GitHub の Trusted Publishers プログラムの対象となるプロバイダーの数を増やします。

ワークフローの混乱を最小限に抑えるため、GitHubチームはこれらの変更を段階的に導入していきます。また、今後数日、数週間、数か月かけてタイムライン、最新のドキュメント、技術サポートを提供することで、現在のユーザーにとって可能な限り簡単にプロセスを進められるよう尽力します。

GitHubのCEO、トーマス・ドームケ氏は、開発者の成長とAIの統合という重要な時代を同社が率いた後、先日退任しました。このリーダーシップの交代が、プラットフォームの新たな章にどのような影響を与えるのか、ぜひご覧ください。