GitHub、誤公開したRSA SSHホスト鍵を更新

GitHub が日本時間 24 日 14 時頃、GitHub.com の Git 操作で使用する RSA SSH ホスト鍵を更新したそうだ(The GitHub Blog の記事、The Register の記事)。

今週 GitHub は RSA SSH 秘密鍵がGitHubの公開リポジトリで短時間見える状態になっていたことを発見し、すぐに修正を行って原因と影響の調査を行ったという。その結果、GitHubのシステムや顧客の情報が不正にアクセスされたのではなく、誤って秘密鍵を公開してしまった結果だと判断したとのこと。秘密鍵が不正に用いられたという証拠もないが、攻撃者がGitHubになりすましたり、ユーザーのGit操作を盗聴する可能性があることから、念のためホスト鍵を更新したとのこと。この変更はRSA鍵を使用してSSHでGit操作をする場合にのみ影響し、GitHub.comへのウェブトラフィックやHTTPSでのGit操作は影響を受けない。

RSA鍵を使用してSSHでGitHub.comにアクセスすると警告が表示されるので、古い鍵を削除して新しい鍵を追加する必要がある。ECDSA鍵やEd25519鍵を使用している場合には影響がなく、特に何も変更する必要はないとのことだ。　

スラドのコメントを読む | セキュリティセクション | セキュリティ | 暗号 | デベロッパー

　関連ストーリー：
無償のランサムウェア被害復旧ツールを当局がGithubで公開 2023年02月13日
GitHubから非公開リポジトリなどのデータが流出 2022年04月22日
米軍が過去8年にわたって収集した大量のインターネット投稿、Amazon S3で誤って公開されていたことが判明 2017年11月22日