米CISAで激震！GitHubに極秘キーを「故意」に公開、米政府のセキュリティ基盤が崩壊の危機

📰 ニュース概要

• 米サイバーセキュリティ・インフラセキュリティ庁（CISA）の請負業者が、公開GitHubリポジトリ「Private-CISA」にAWS GovCloudキーなどの内部認証情報を公開していた。
• この業者は、機密情報の公開を防止するGitHubの組み込み保護機能を「意図的に無効化」してコードをコミットしていた。
• セキュリティ企業の指摘から1週間以上経過しても、一部の重要な秘密鍵が無効化されず、全リポジトリへのフルアクセスが可能な状態が続いていた。

💡 重要なポイント

• 流出した「Private-CISA」アーカイブは2025年11月に作成され、業者が個人的な「メモ帳」として利用していた疑いがある。
• 漏洩したRSA秘密鍵を使用すれば、CISA-IT組織のすべてのプライベートリポジトリの読み取り、CI/CDパイプラインの乗っ取り、管理者設定の変更が可能だった。
• CISAは近年、人員の3分の1以上を失い、上層部も大幅に入れ替わるなど、組織内部の混乱がセキュリティ文化の低下を招いたと議会で指摘されている。

🦈 サメの眼（キュレーターの視点）

あまりにもお粗末すぎて、サメの顎が外れそうだサメ！サイバー攻撃からアメリカを守るはずのCISAが、自らフロントドアの鍵をGitHubに置いて、しかも「警告機能をオフ」にするなんて、前代未聞の失態だサメ！

特に深刻なのは、TruffleHogの作成者ディラン・アイリー氏が指摘した「RSA秘密鍵」だサメ。これ一つでCISA-ITの全リポジトリを掌握できる特権鍵なのに、通報から数日経っても放置されていたなんて、インシデント対応のスピード感が2026年の基準じゃありえないほど遅いサメ！「Private-CISA」という名前で公開していたのも、隠す気があったのか、あるいはあまりにも無知だったのか…いずれにせよ、内部ガバナンスが完全に崩壊している証拠だサメ！

🚀 これからどうなる？

米議会（ハッサン上院議員ら）による厳格な調査が始まり、CISAのニック・アンデルセン長官代行は厳しい説明責任を問われることになるサメ。請負業者の管理プロセスが根本から見直されるのは確実だが、失われた信頼を取り戻すには、組織全体の「セキュリティ文化」を再構築する長い道のりが必要になるサメ。

💬 はるサメ視点の一言

守る側が「わざと」防御を解いてどうするサメ！？セキュリティのプロなら、GitHubの警告が出た時点で気付くべきサメ。サメでももっと慎重に泳ぐサメ！🦈🔥

📚 用語解説

• AWS GovCloud: 米国政府機関およびその請負業者が、機密性の高いワークロードをクラウドへ移行するために設計された、物理的・論理的に隔離されたAWSリージョンのこと。

• CI/CD: 「継続的インテグレーション／継続的デリバリー」の略。ソフトウェアのビルド、テスト、デプロイを自動化する手法。ここが乗っ取られると、悪意のあるコードを正規のプログラムに紛れ込ませることができてしまう。

• RSA秘密鍵: 公開鍵暗号方式で使用されるペアのうちの一つ。これを持つことで、特定のシステムやリポジトリへの認証をパスし、最高権限での操作が可能になる極めて重要なデータ。

• 情報元: Lawmakers Demand Answers as CISA Tries to Contain Data Leak