調査報告:GitHub Enterprise Serverサイニングキーローテーション

Image of tomokota

tomokota
Author
Image of Alexis Wales

GitHub Enterprise Serverの署名キーローテーションに関する調査報告です。今後のGitHub GitHub Enterprise Serverの更新を適用するために、GPG公開鍵のローテーションが必要です。

2026年5月26日: GitHubは最近サイバー攻撃を検知し、直ちに対応プロセスを起動して調査、悪意ある活動の阻止、攻撃の軽減、脅威アクターによるアクセスの遮断を行いました。この調査は現在も継続中であり、適切な範囲で随時詳細を公開してまいります。

脅威アクターの実態やAI技術の台頭を踏まえ、私たちはお客様を守るために可能な限りの対策を講じる必要があります。攻撃を受けたリポジトリの状況と万全を期すという観点から、GitHub Enterprise Serverの署名キーを含む各種キーのローテーションを実施しています。この署名キーは、手動で開始するアップデートプロセス中にGitHubをソースとして検証するために、GitHub Enterprise Serverのバイナリへの署名に使用されます。GitHubがホストするすべてのバイナリは有効です。

GitHub Enterprise Serverをご利用のお客様は、以下の手順に従って直ちに対応を行ってください。GitHub Enterprise Cloudでの対応は不要です。

お客様に必要なアクション

GitHub Enterprise Serverの管理者は、インスタンスのGPG公開鍵をローテーションする必要があります。GitHubが開発したスクリプトを使用してプロセスを効率化するための手順に従ってください。スクリプトの整合性を独自に検証する場合は、以下のSHA256ダイジェストをご確認ください。

3009bf5cdef034e153008cc375a05ac0bdbb1a2a325b22adb300c028e3766b43

シングルノードトポロジーの場合、以下のコマンドを実行してください:

$ curl -fsSL https://enterprise.github.com/security/2026-05-24/rotate-gpg.sh -o rotate-gpg.sh
$ chmod ug+x ./rotate-gpg.sh
$ ./rotate-gpg.sh
$ sudo ./rotate-gpg.sh

HAまたはクラスタートポロジーの場合

  • HAまたはクラスターインストールの任意のノードにログインし、以下のコマンドを実行してください。スクリプトのダウンロード、全ノードへのコピー、全ノードでの実行が自動的に行われます:
$ ghe-cluster-each -- curl -fsSL https://enterprise.github.com/security/2026-05-24/rotate-gpg.sh -o rotate-gpg.sh
$ ghe-cluster-each -- chmod ug+x ./rotate-gpg.sh
$ ghe-cluster-each -- ./rotate-gpg.sh
$ ghe-cluster-each -- sudo ./rotate-gpg.sh
  • キーはadminアカウントとrootアカウントの両方に保存されているため、sudoで2回目を実行することで両方が確実に更新されます。

署名キーがローテーションされない場合、GitHub Enterprise Serverの将来のバージョンアップグレードは以下のエラーメッセージで検証に失敗します:

Error: The file provided is not a valid GitHub Enterprise Server package.

GitHub Enterprise Serverのお客様への影響

今後のパッチおよびリリースは新しいキーで署名されます。お客様はそれらのパッチとリリースをインストールする前に、新しい公開鍵へのローテーションが必要です。GHESのアップデートは必ず公式のGitHub.comソースURLからのみダウンロードするようにしてください。また、今後数ヶ月でGHESのセキュリティアップデートの頻度が増加する可能性があるため、お客様には対応の準備をしていただくことを推奨します。

今後の展望

情報セキュリティの状況が進化し続ける中、私たちは新たな脅威に対応してシステムの強化を優先しています。注目すべき動向については、引き続きコミュニティにお知らせしてまいります。GitHubのセキュリティを維持するだけでなく、より広範なオープンソースエコシステムのセキュリティ強化にも貢献し続けてまいります。

初回ブログ投稿(2026年5月20日公開): 5月18日(月)、サードパーティが公開した不正に改ざんされたVS Code拡張機能を含む従業員デバイスへの侵害を検知し、封じ込めました。悪意のある拡張機能バージョンを削除し、エンドポイントを隔離した上で、直ちにインシデント対応を開始しました。

現時点調査において、今回の侵害はGitHub内部のリポジトリの流出のみに留まっていると判断しています。攻撃者が主張する約3,800件のリポジトリという数字は、これまでの調査とおおむね一致しています。

GitHub内部リポジトリ以外に保存されているお客様の情報(お客様自身のEnterprise、Organization、リポジトリなど)への影響の痕跡はありません。なお、GitHubの内部リポジトリの一部にはお客様の情報(サポートインタラクションの抜粋など)が含まれています。影響が判明した場合は、確立されたインシデント対応・通知チャネルを通じてお客様にご連絡します。

GitHubではリスク軽減に向けて迅速に対応し、影響度の高い認証情報を最優先に、月曜日から火曜日にかけて重要なシークレットのローテーションを実施しました。

引き続きログの分析、シークレットローテーションの検証、後続活動に備えたインフラの監視を継続しています。調査の進展に応じて追加の対応を実施します。

調査完了後、詳細なレポートを公開する予定です。

Related posts

Company

GitHub CopilotのUsage-Based Billing移行について

2026年6月1日より、すべてのGitHub Copilotプランが従量課金制(Usage-Based Billing)へ移行します。本記事では変更内容の詳細、個人・法人それぞれへの影響、よくあるご質問、および5月12日開催の日本語ウェビナー情報をご案内します。

Image of tomokota

tomokota