B
今週中
GitHubプラットフォームを標的とした「Megalodon(巨齿鲨)」と呼ばれる大規模なサプライチェーン攻撃
📌 一言でいうと
GitHubプラットフォームを標的とした「Megalodon(巨齿鲨)」と呼ばれる大規模なサプライチェーン攻撃が確認されました。攻撃者は自動化された手法を用いて、6時間以内に5,500以上のリポジトリに悪意のあるCI/CDワークフローを注入しました。この攻撃はOIDCトークンやクラウド認証情報(AWS, GCP, Azure)などの機密情報を窃取することを目的としています。
🔍該当判定
- GitHubでソースコードを管理し、GitHub Actions(自動ビルド・デプロイ機能)を利用している
- GitHubのリポジトリに、身に覚えのない「ci.yml」などのワークフローファイルが追加されていないか
- GitHub Actionsの設定で、AWS、GCP、Azureなどのクラウドサービスへのアクセス権限(OIDCトークン等)を付与している
- GitHubのコミット履歴に「build-bot」や「ci-bot」といった不審な名前のユーザーによる更新がないか
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. GitHub Actionsのワークフローファイル(.github/workflows/)に不審な変更がないか確認してください。2. OIDCトークンの権限(id-token: write等)を最小権限の原則に基づいて再評価してください。3. 漏洩の可能性があるクラウド認証情報やAPIキーを直ちにローテートしてください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】GitHub Actionsを標的としたサプライチェーン攻撃「Megalodon」への対応について
お疲れさまです。GitHub上のCI/CDパイプラインを標的とした大規模な攻撃「Megalodon」に関する情報共有です。
■ 概要
攻撃者が自動化された手法で5,500以上のGitHubリポジトリに悪意のあるワークフローを注入し、クラウド認証情報やOIDCトークンを窃取する攻撃が確認されました。偽装されたCIボットアカウントにより、短期間に大量のコードベースが侵害されています。
■ 影響範囲
- GitHub Actionsを利用しているリポジトリ
- 特に `id-token: write` や `actions: read` 権限を付与しているワークフロー
■ 対応手順
1. リポジトリ内の `.github/workflows/` ディレクトリに、心当たりのないファイル(例: ci.yml)や不審な変更が追加されていないか確認してください。
2. 疑わしいコミットがある場合は、直ちにロールバックし、使用していたシークレット(AWS/GCP/Azureキー、APIトークン等)をすべて無効化・再発行してください。
3. GitHub Actionsの権限設定を見直し、必要最小限の権限のみを付与するように修正してください。
■ 参考情報
- SafeDep セキュリティレポート
対応優先度: 高
対応期限: 直ちに確認
お疲れさまです。GitHub上のCI/CDパイプラインを標的とした大規模な攻撃「Megalodon」に関する情報共有です。
■ 概要
攻撃者が自動化された手法で5,500以上のGitHubリポジトリに悪意のあるワークフローを注入し、クラウド認証情報やOIDCトークンを窃取する攻撃が確認されました。偽装されたCIボットアカウントにより、短期間に大量のコードベースが侵害されています。
■ 影響範囲
- GitHub Actionsを利用しているリポジトリ
- 特に `id-token: write` や `actions: read` 権限を付与しているワークフロー
■ 対応手順
1. リポジトリ内の `.github/workflows/` ディレクトリに、心当たりのないファイル(例: ci.yml)や不審な変更が追加されていないか確認してください。
2. 疑わしいコミットがある場合は、直ちにロールバックし、使用していたシークレット(AWS/GCP/Azureキー、APIトークン等)をすべて無効化・再発行してください。
3. GitHub Actionsの権限設定を見直し、必要最小限の権限のみを付与するように修正してください。
■ 参考情報
- SafeDep セキュリティレポート
対応優先度: 高
対応期限: 直ちに確認
Subject: [Alert] Supply Chain Attack "Megalodon" Targeting GitHub Actions
Dear IT/Security Team,
We are sharing information regarding a large-scale automated supply chain attack dubbed "Megalodon" targeting GitHub CI/CD pipelines.
■ Overview
Attackers have injected malicious workflows into over 5,500 GitHub repositories to steal OIDC tokens and cloud credentials (AWS, GCP, Azure). The attack uses spoofed CI bot identities to bypass standard code reviews and spreads rapidly via automated commits.
■ Scope
- Repositories utilizing GitHub Actions
- Workflows granted high privileges such as `id-token: write` or `actions: read`
■ Mitigation Steps
1. Audit `.github/workflows/` directories for unauthorized files (e.g., ci.yml) or suspicious modifications.
2. If a compromise is detected, immediately rollback the commits and rotate all secrets, including cloud access keys and API tokens.
3. Review and restrict GitHub Actions permissions following the principle of least privilege.
■ Reference
- SafeDep Security Report
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing information regarding a large-scale automated supply chain attack dubbed "Megalodon" targeting GitHub CI/CD pipelines.
■ Overview
Attackers have injected malicious workflows into over 5,500 GitHub repositories to steal OIDC tokens and cloud credentials (AWS, GCP, Azure). The attack uses spoofed CI bot identities to bypass standard code reviews and spreads rapidly via automated commits.
■ Scope
- Repositories utilizing GitHub Actions
- Workflows granted high privileges such as `id-token: write` or `actions: read`
■ Mitigation Steps
1. Audit `.github/workflows/` directories for unauthorized files (e.g., ci.yml) or suspicious modifications.
2. If a compromise is detected, immediately rollback the commits and rotate all secrets, including cloud access keys and API tokens.
3. Review and restrict GitHub Actions permissions following the principle of least privilege.
■ Reference
- SafeDep Security Report
Priority: High
Deadline: Immediate