GitHub が日本時間 24 日 14 時頃、GitHub.com の Git 操作で使用する RSA SSH ホスト鍵を更新したそうだ (The GitHub Blog の記事、 The Register の記事)。

今週 GitHub は RSA SSH 秘密鍵がGitHubの公開リポジトリで短時間見える状態になっていたことを発見し、すぐに修正を行って原因と影響の調査を行ったという。その結果、GitHubのシステムや顧客の情報が不正にアクセスされたのではなく、誤って秘密鍵を公開してしまった結果だと判断したとのこと。秘密鍵が不正に用いられたという証拠もないが、攻撃者がGitHubになりすましたり、ユーザーのGit操作を盗聴する可能性があることから、念のためホスト鍵を更新したとのこと。この変更はRSA鍵を使用してSSHでGit操作をする場合にのみ影響し、GitHub.comへのウェブトラフィックやHTTPSでのGit操作は影響を受けない。

RSA鍵を使用してSSHでGitHub.comにアクセスすると警告が表示されるので、古い鍵を削除して新しい鍵を追加する必要がある。ECDSA鍵やEd25519鍵を使用している場合には影響がなく、特に何も変更する必要はないとのことだ。

すべて読む | セキュリティセクション | セキュリティ | 暗号 | デベロッパー |

関連ストーリー：
無償のランサムウェア被害復旧ツールを当局がGithubで公開 2023年02月13日
GitHubから非公開リポジトリなどのデータが流出 2022年04月22日
米軍が過去8年にわたって収集した大量のインターネット投稿、Amazon S3で誤って公開されていたことが判明 2017年11月22日
Adobeのセキュリティチーム、誤ってPGP秘密鍵をブログで公開 2017年09月24日
Cloudflareのバグで別のユーザーのCookieやパスワードが送信される 2017年02月26日
PGPの32ビット鍵IDが問題に、Linus Torvalds氏などの偽造鍵も確認される 2016年08月23日
オランダ警察、「PGP Blackberry」で使われているPGP暗号化されたメールを解読していた 2016年01月19日