C
月内に
GitHubは、公式アクションである「actions/checkout」を更新し、pwn request攻撃の一般的なパターンをデフォルトでブロックするようにし…
📌 一言でいうと
GitHubは、公式アクションである「actions/checkout」を更新し、pwn request攻撃の一般的なパターンをデフォルトでブロックするようにしました。この変更は、pull_request_targetトリガーを悪用して特権コードを実行させる攻撃を防ぐことを目的としています。2026年6月18日から最新バージョンに適用され、7月16日までにサポートされている全メジャーバージョンにバックポートされる予定です。
🔍該当判定
- GitHub Actionsを利用して、自動ビルドやテストなどのワークフローを組んでいる
- ワークフローの起動条件に「pull_request_target」または「workflow_run」を設定している
- 外部(フォークされたリポジトリ)からのプルリクエストを受け入れて、コードをチェックアウト(取得)している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
actions/checkoutを最新バージョンに更新すること。また、意図的にフォークからのチェックアウトが必要な場合は、'allow-unsafe-pr-checkout'フラグをtrueに設定して明示的に許可することを検討してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】GitHub actions/checkout のセキュリティ更新について
お疲れさまです。GitHub Actionsの公式アクション「actions/checkout」におけるセキュリティ強化に関する情報共有です。
■ 概要
GitHubは、pull_request_targetトリガーを悪用して特権で悪意あるコードを実行させる「pwn request」攻撃を防ぐため、actions/checkoutのデフォルト動作を変更しました。フォークされたリポジトリからのプルリクエストにおいて、特定の危険なパターンを検知した場合にチェックアウトを拒否します。
■ 影響範囲
- GitHub Actionsを利用している全プロジェクト
- 特に pull_request_target または workflow_run トリガーを使用しているワークフロー
■ 対応手順
1. actions/checkout を最新バージョン(v7以降)に更新してください。
2. 既存のワークフローでフォークからのチェックアウトが必須であり、かつ安全性が確認できている場合は、設定に `allow-unsafe-pr-checkout: true` を追加して明示的に許可してください。
■ 参考情報
- GitHub公式ブログ/リリースノート
対応優先度: 中
対応期限: 2026年7月16日(バックポート完了まで)
お疲れさまです。GitHub Actionsの公式アクション「actions/checkout」におけるセキュリティ強化に関する情報共有です。
■ 概要
GitHubは、pull_request_targetトリガーを悪用して特権で悪意あるコードを実行させる「pwn request」攻撃を防ぐため、actions/checkoutのデフォルト動作を変更しました。フォークされたリポジトリからのプルリクエストにおいて、特定の危険なパターンを検知した場合にチェックアウトを拒否します。
■ 影響範囲
- GitHub Actionsを利用している全プロジェクト
- 特に pull_request_target または workflow_run トリガーを使用しているワークフロー
■ 対応手順
1. actions/checkout を最新バージョン(v7以降)に更新してください。
2. 既存のワークフローでフォークからのチェックアウトが必須であり、かつ安全性が確認できている場合は、設定に `allow-unsafe-pr-checkout: true` を追加して明示的に許可してください。
■ 参考情報
- GitHub公式ブログ/リリースノート
対応優先度: 中
対応期限: 2026年7月16日(バックポート完了まで)
Subject: [Security Update] GitHub actions/checkout Pwn Request Protection
Hello,
This is a technical update regarding security enhancements to the official GitHub action 'actions/checkout'.
■ Overview
GitHub has updated 'actions/checkout' to block common pwn request attack patterns by default. This prevents attackers from exploiting the 'pull_request_target' or 'workflow_run' triggers to execute malicious code with elevated privileges when fetching code from a fork.
■ Scope
- All projects utilizing GitHub Actions.
- Specifically those using 'pull_request_target' or 'workflow_run' triggers.
■ Action Items
1. Update 'actions/checkout' to the latest version (v7+).
2. If your workflow explicitly requires checking out code from a fork and you have verified the safety, you may opt out of this protection by setting the 'allow-unsafe-pr-checkout' flag to 'true'.
■ Reference
- GitHub Official Release Notes
Priority: Medium
Deadline: July 16, 2026
Hello,
This is a technical update regarding security enhancements to the official GitHub action 'actions/checkout'.
■ Overview
GitHub has updated 'actions/checkout' to block common pwn request attack patterns by default. This prevents attackers from exploiting the 'pull_request_target' or 'workflow_run' triggers to execute malicious code with elevated privileges when fetching code from a fork.
■ Scope
- All projects utilizing GitHub Actions.
- Specifically those using 'pull_request_target' or 'workflow_run' triggers.
■ Action Items
1. Update 'actions/checkout' to the latest version (v7+).
2. If your workflow explicitly requires checking out code from a fork and you have verified the safety, you may opt out of this protection by setting the 'allow-unsafe-pr-checkout' flag to 'true'.
■ Reference
- GitHub Official Release Notes
Priority: Medium
Deadline: July 16, 2026