GitHubが侵害された——あなたのコードは今、安全ですか？

開発者が毎日使うツールそのものが、攻撃の入り口になっていた。

2026年5月、世界最大のコードホスティングプラットフォームであるGitHub（Microsoft傘下）は、社内の約3,800件のリポジトリからデータが盗まれたことを公式に認めました。同社はXへの投稿で「顧客情報への影響は確認されていない」と述べましたが、調査は現在も続いています。今回の侵害で注目すべきは、攻撃の入口となったのがコード自体ではなく、開発者が日常的に使う「ツール」だったという点です。

「毒入り拡張機能」——手口の解剖

GitHubによると、攻撃者はまず社員のデバイスを侵害することに成功しました。その手段として使われたのが、人気コードエディタ「Visual Studio Code（VSCode）」の拡張機能に仕込まれたマルウェアです。GitHubは具体的な拡張機能の名称を公表していませんが、セキュリティメディアのThe RecordとBleeping Computerは、ハッキンググループ「TeamPCP」が犯行声明を出し、盗んだデータをサイバー犯罪フォーラムで販売していると報じています。

TeamPCPは今回が初めてではありません。このグループは以前、脆弱性スキャンツール「Trivy」のダウンストリームユーザーにマルウェアを配布し、欧州委員会のクラウドストレージから90ギガバイト超のデータを盗み出した事件でも犯行声明を出しています。さらに最近では、OpenAIを標的にした別の攻撃も発生しており、ウェブ開発者向けプラットフォーム「Tanstack」のアップデートにマルウェアが混入され、パスワードやトークンが窃取されました。

これらの事件に共通するのは「サプライチェーン攻撃」という手法です。ターゲットを直接狙うのではなく、ターゲットが信頼して使っているツールやライブラリを汚染することで、一度に大量のシステムへのアクセスを得る——これが現代のサイバー攻撃の主流になりつつあります。

なぜ今、これが重要なのか

広告

広告掲載について

[email protected]

広告

VSCodeの拡張機能マーケットプレイスには現在、6万件以上の拡張機能が公開されています。そのほとんどは個人や小規模チームが開発・管理しており、セキュリティ審査の厳密さにはばらつきがあります。日本国内でも、トヨタ、ソニー、富士通をはじめとする大手企業から中小のシステムインテグレーターまで、数十万人規模の開発者がVSCodeとGitHubを日常業務で利用しています。

今回の事件が示すのは、「信頼できるプラットフォームを使っているから安全」という前提が崩れつつあるという現実です。GitHub自身が被害を受けたことで、プラットフォームへの信頼そのものが揺らいでいます。企業のセキュリティ部門にとっては、エンドポイント保護だけでなく、開発ツールチェーン全体を監視対象に含める必要性が改めて浮き彫りになりました。

日本固有の文脈で考えると、もう一つの懸念があります。日本企業は長年、ソフトウェア開発の一部をオフショアや外部委託に依存してきました。委託先の開発環境が汚染されていた場合、その影響は発注元の日本企業にも及ぶ可能性があります。サプライチェーンのリスク管理は、製造業だけの話ではなくなっています。

各ステークホルダーの視点

GitHubとMicrosoftにとっては、信頼の問題です。顧客データへの直接的な影響がないとしても、「世界中の開発者のコードを預かるプラットフォームが侵害された」という事実は、企業ブランドに長期的な影響を与えかねません。同社が今後どこまで透明性を持って情報を開示するかが、信頼回復の鍵となります。

一方、セキュリティ研究者の間では、今回の事件を「予告されていた災害」と見る声もあります。オープンソースエコシステムのセキュリティ問題は長年指摘されており、2020年のSolarWinds事件以降、サプライチェーン攻撃への警戒は高まっていました。それでも有効な対策が業界全体に普及しないまま、被害が繰り返されています。

開発者個人の視点では、「どの拡張機能が危険だったのか」という情報が公開されていないことへの不満も出ています。自分が同じ拡張機能を使っていたかどうかを確認する手段がない状態では、適切な対処もできません。