CISAの委託業者がパスワードをGitHubに公開
CISAの委託業者の従業員が、大量のパスワードを誰でもアクセスできる公開GitHubリポジトリにアップロードしていたことが判明した。2025年5月、独立系ジャーナリストのブライアン・クレブス氏がセキュリティ企業GitGuardianの研究者からの報告を受けて報道した。CISAはこの問題への対応手順を、事態発生後にはじめて整備していたことを自ら認めている。

米国のサイバーセキュリティ機関であるCISA(サイバーセキュリティ・インフラセキュリティ庁)の委託業者の従業員が、機密性の高いパスワード群を誰でも閲覧できる状態のGitHubリポジトリ(ソースコードなどを管理する公開サービス上の保管場所)にアップロードしていたことが明らかになった。この問題を最初に報じたのは、独立系サイバーセキュリティジャーナリストのブライアン・クレブス氏で、2025年5月のことだった。
クレブス氏によると、セキュリティ企業GitGuardianの研究者が大量の露出したパスワードを発見し、クレブス氏に警告を発した。GitGuardianはコードリポジトリ上の機密情報漏えいを監視することを専門とする企業で、同社の調査がこの情報漏えいの端緒となった。問題のリポジトリはパブリック設定、つまりインターネット上の誰もがアクセスできる状態に置かれており、その中に多数のパスワードが含まれていた。
CISAはアメリカの連邦政府機関の中でもサイバーセキュリティを専門に担う組織であり、他の政府機関や民間インフラを守る役割を持つ。そのCISA自身の委託業者が起こした今回の漏えいは、守る側が守られる対象となるという皮肉な構図を生んだ。また、CISAは事態に対処するためのインシデント対応手順(どう調査し、どう連絡し、どう修復するかの手引き)を、事件が発生してからはじめて整備していたことも同機関みずから認めている。
GitHubのような公開リポジトリへの機密情報の誤アップロードは、開発現場で繰り返し起きてきた問題だ。企業や機関が外部の委託業者を活用する場合、委託先のセキュリティ管理水準が直接リスクに直結する。今回の件は、政府機関においても例外ではないことを改めて示しているという見方ができる。
さらに問題として浮かび上がるのは、CISAがこうした事態への対応手順を事前に整備していなかった点だ。インシデント対応の計画を「有事の最中に作る」という状況は、組織の準備態勢として十分ではないと評価されうる。政府機関のサイバーセキュリティ管理体制そのものが問われる事案として位置づけられる。
今後注目されるのは、CISAがこの漏えいに対してどのような再発防止策を打ち出すか、そして委託業者を含めたサプライチェーン全体のセキュリティ管理をどう強化するかという点だ。政府機関が自らのサイバーセキュリティ上の弱点を公に認めたことは、透明性という観点では評価できる一方で、国家レベルのセキュリティ体制に対する信頼にどう影響するかを見極める必要があるといえる。
本記事は、AI issue編集部が事実(ファクト)をもとに独自に作成・編集した著作物です。著作権はAI issueに帰属し、無断転載・再配布およびAIの学習・活用を禁じます。