出版
人気のリポジトリにコードを提供する開発者は、2023年末までに二要素認証を実装する必要があります。
GitHubは水曜日、2023年末までにすべての貢献者に2要素認証を展開する計画を発表した。同社によると、アクティブなGitHubユーザーのうち16.5%、npmユーザーのうち6.44%しか1つ以上の2要素認証を有効にしていないため、これはほとんどのGitHubユーザーにとって大きな変化となるだろう。
同社は2022年2月に移行を開始し、npmレジストリの上位100パッケージのすべてのメンテナーを2FAの必須設定に登録しました。2022年3月には、すべてのnpmアカウントを強化ログイン認証に登録しました。2022年5月末には、上位500パッケージをメンテナンスするすべての開発者をこの新しいセキュリティ対策に登録しました。
GitHub は、依存関係が 500 個以上、または毎週 100 万回ダウンロードされるパッケージなど、影響の大きいすべてのパッケージのメンテナーを登録する予定です。
GitHub のプロダクト マネージャー Myles Borins 氏は、上位 100 人のメンテナーの約 88% がすでに 2FA を有効にしていると述べています。
「npmのアカウントセキュリティ向上に向けた取り組みは、多くの有益な視点をもたらし、GitHub.com向けの取り組みを進める上で、テクノロジーやセキュリティ基準の新たな変化を考慮する上で役立っています」とボリンズ氏は述べた。「例えば、npmのアカウントロックアウト回復プロセスを刷新する取り組みは、GitHub.comにおけるアカウント回復の改善に取り組む上で、有益な教訓をもたらしてくれました。」
ボリンズ氏は、GitHub では、より多くの顧客が GitHub 上のソースコードを保護する際と、npm パブリック レジストリに公開する際の両方で 2FA を採用することを望んでいると述べた。
「npm自動化トークンとGitHub Actionsを利用することで、顧客は2FAでアカウントを完全に保護しながら、パッケージのデプロイメントプロセスを安全に完全に自動化できます」とボリンズ氏は述べた。
参照: 多要素認証について知っておくべき5つのこと
GitHubの最高セキュリティ責任者であるマイク・ハンリー氏は、このニュースに関するブログ投稿で、この変更は、2FAが有効になっていない開発者アカウントが侵害されたことによるnpmパッケージの乗っ取りが原因だと述べています。Node.jsパッケージマネージャーは、オープンソースのNode.jsプロジェクトを公開するためのオンラインリポジトリであり、リポジトリを操作してパッケージのインストール、バージョン管理、依存関係管理を行うためのコマンドラインユーティリティです。
新しい2FA要件は、ソーシャルエンジニアリング攻撃、認証情報の盗難、その他開発者アカウントへのアクセスに用いられる戦術のリスクを軽減することを目的としています。GitHubはこの新しい要件を、ソフトウェアサプライチェーンのセキュリティ確保に向けた一歩と捉えています。
侵害されたアカウントは、プライベートコードを盗んだり、悪意のある変更をコードにプッシュしたりするために使用される可能性があります。これは、侵害されたアカウントに関連する個人や組織だけでなく、影響を受けたコードのユーザーにもリスクをもたらします。結果として、より広範なソフトウェアエコシステムとサプライチェーンに重大な影響を及ぼす可能性があります。
GitHubは2022年1月、開発者がiOSおよびAndroid上でGitHub Mobileを二要素認証に利用できるようになったと発表しました。また、同社はソフトウェアサプライチェーンのセキュリティ確保に関するガイドを公開し、以下の推奨事項を盛り込んでいます。
- 個人アカウントに2要素認証を設定する
- SSHキーを使用してGitHubに接続する
- ユーザー認証の集中化(企業)
- 2要素認証を設定する(組織および企業)
- 依存関係の脆弱性管理プログラムを作成する
- 通信トークンを保護する
- 脆弱なコーディングパターンをリポジトリから排除する
- ビルドに署名する
- GitHub Actionsのセキュリティを強化する
Microsoftは、アカウント侵害攻撃の99.9%を防ぐ方法として2FAの導入を推奨しており、Googleもこのセキュリティ対策を導入し始めています。2021年には、Googleはユーザーの2段階認証への自動登録を開始しました。同社によると、この保護は現在、1億5000万人以上と200万人以上のYouTubeユーザーに適用されています。同社によると、この変更により、アカウントの侵害は50%減少したとのことです。
こちらもご覧ください
- 2FAでWordPressログインを保護する方法
- 調査により、IAMは許可が多すぎて誤って設定されていることがわかった
- エスコバルのモバイルマルウェアが190の銀行・金融アプリを標的にし、2FAコードを盗む
- Duo vs. Microsoft Authenticator: 多要素認証ソフトウェアの比較
ヴェロニカ・コームズ
ベロニカ・コームズは、TechRepublicの元シニアライターです。10年以上にわたり、テクノロジー、ヘルスケア、ビジネス戦略を専門に執筆してきました。執筆と編集の専門知識に加え、スタートアップ企業や既存企業で大小さまざまなチームのマネジメント経験も豊富です。また、喘息に特化した3年間のデジタルヘルスプロジェクト「AIR Louisville」を主導しました。さらに、MedCity Newsの編集者も3年間務めました。
