要点まとめ
- GitHubの社員が悪意ある拡張機能をインストールしたことで、内部リポジトリ約3,800件が流出
- 攻撃者グループ「TeamPCP」が犯行を主張し、盗んだデータを5万ドル(約750万円)で売りに出した
- 今回の手口は「サプライチェーン攻撃(供給網攻撃)」と呼ばれ、開発ツールそのものが踏み台として悪用された
- 現時点では一般ユーザーのアカウントや個人情報への直接的な影響は確認されていない
- 拡張機能はPCのほぼ全データにアクセスできる権限を持つことがあり、誰でも注意が必要
はじめに
「GitHub(ギットハブ)って聞いたことはあるけど、エンジニアの話でしょ?」って思いますよね。
でも実は、私たちが日常的に使っているアプリやWebサービスのほとんどは、GitHub上でコードが管理・開発されています。いわば世界中のソフトウェアの"設計図置き場"です。その巨大な倉庫が、2026年5月20日に不正アクセスを受けました。
しかも攻撃の入り口は、GitHub社の開発者が使っていたVisual Studio Code(開発ツール)の「拡張機能(プラグイン)」のひとつ。
「便利な追加機能」が、社内システムへの裏口になってしまったのです。
この記事では、何が起きたかをわかりやすく整理しながら、開発ツールを踏み台にする「サプライチェーン攻撃=供給網攻撃」の仕組みと、私たちが今日からできることを解説します。
GitHubで何が起きたのか
GitHubは世界中の開発者が使うソースコード管理サービスです。
利用者は1億人を超え、あらゆるソフトウェアの開発拠点として機能しています。
2026年5月20日、そのGitHub社が内部リポジトリへの不正アクセス被害を発表しました。
We are investigating unauthorized access to GitHub’s internal repositories. While we currently have no evidence of impact to customer information stored outside of GitHub’s internal repositories (such as our customers’ enterprises, organizations, and repositories), we are closely…
— GitHub (@github) May 19, 2026
流出したのは、GitHub社が自社開発のために使っていた約3,800件の内部リポジトリ(コードの保管庫)です。
重要なので強調して伝えますが、
あくまで、今回流出したのは、一般ユーザーが持っているコードや個人情報ではなく、GitHub社内のシステムや開発環境に関するコードが対象になりました。
誤解されないようにお気をつけください。
攻撃の入り口は「Visual Studio Code」という人気の開発ツール向け拡張機能でした。
GitHub社の開発者がこれをインストールしたところ、その拡張機能に悪意あるコードが仕込まれていて、開発者のPCが乗っ取られてしまいました。
攻撃者グループ「TeamPCP(チームPCP)」はサイバー犯罪フォーラム上で犯行を公言し、盗み出したデータを5万ドル(約750万円)で売りに出すと宣言。「これは身代金要求ではない。1人の買い手を見つけたらデータを消す。見つからなければ無料で公開する」という声明も残しています。
ただ、GitHubは攻撃を検知した当日中に、該当の拡張機能をマーケットプレイスから削除し、社員のPCを隔離。保存されていたパスワードやAPIキー(システム連携に使う認証情報)の更新も完了させています。
そもそも「サプライチェーン攻撃」って何?
今回の手口を理解するうえで欠かせないキーワードが「サプライチェーン攻撃=供給網攻撃」です。
「サプライチェーン(supply chain)=供給網」とは、製品が届くまでの流れ全体のことです。たとえば食品なら「農家 → 加工工場 → 物流 → スーパー → 消費者」という連鎖ですよね。ソフトウェアにも似た連鎖があります。
ツール開発者 → マーケットプレイスで公開 → ユーザーがインストール → 使用
サプライチェーン攻撃では、この流れのどこかに悪意あるコードを紛れ込ませます。
今回の場合、「マーケットプレイスで公開」の段階で拡張機能に仕掛けが埋め込まれていました。
この手口の厄介な点は、ユーザーが「公式の場所からダウンロードしたから安全」と信じてしまうことにあります。
不審なメールのリンクをクリックするような"わかりやすい危険"とは違い、いつもの操作の中に罠が潜んでいます。
VS Codeの拡張機能は、インストールすると拡張機能の種類に依りますが、PC上のほぼすべてのデータにアクセスできる権限を持つことがあります。
保存したパスワード、SSHキー(サーバーへのログインに使う鍵)、クラウドサービスの認証情報――それらがまとめて攻撃者の手に渡りうるのです。
一般ユーザーへの影響は?
「GitHubを使っていないから関係ない」と思いますよね。
少し考えてみてください。私たちが毎日使うアプリやサービスの多くは、GitHubで開発・管理されています。
GitHubが攻撃を受けると、そのコードを使ったサービスの安全性にも、将来的に影響が出る可能性があります。
ただ、今回の件についてはGitHubが「一般ユーザーのデータや企業アカウントへの影響は確認されていない」と発表しています。
皆さんのリポジトリや個人情報への直接的な被害は、現時点では報告されていません。
それより注目してほしいのは手口そのものです。拡張機能やプラグインという「便利な追加機能」が攻撃経路になること――これはGitHubだけの話ではありません。ブラウザの拡張機能、オフィスソフトのプラグイン、スマートフォンのアプリ。私たちの身の回りにも同じ構造のリスクが潜んでいます。
あなたのデバイスを守るために今日からできること
サプライチェーン攻撃は「公式から入手したものが危ない」という点で完全な防御は難しいですが、基本的な習慣でリスクを大きく下げられます。
インストール済みの拡張機能を棚卸しする
使っていない、または「いつ入れたかわからない」拡張機能は削除しましょう。拡張機能の数が少ないほど、攻撃の入り口が減ります。
インストール前に開発者の信頼性を確認する
評価数が極端に少ない、開発者情報が不明、更新が長期間止まっているものは要注意です。著名な企業や公式サイトが公開しているものを優先しましょう。
よくあるのが、同じ名前のアプリだと思ってインストールしたら、実は発行元が偽物といった手口です。
アプリの名前だけで判断するのではなく、公開・発行元をよく見るようにして下さいね。
拡張機能が求める権限を意識する
「すべてのサイトのデータを読み取る」など、機能に対して過剰な権限を求めるものは、本当に必要かどうか立ち止まって判断しましょう。例えば、位置情報が不要そうなのに何で位置情報を求めてくるのだろう?とか、アクセス許可には慎重になりましょう。
まとめ
GitHubのインシデントは、「どこからでも攻撃が来る時代」を改めて示しています。世界最大規模のプラットフォームでさえ、1本の拡張機能をきっかけに内部へ侵入されてしまいます。
日常的に使う拡張機能やプラグインは便利なものですが、それぞれが"デバイスへの窓口"でもあります。
一度だけでいいので、今使っているツールを見直してみることをおすすめします。
サプライチェーン攻撃はこれからも増加します。でも、基本的なチェックを習慣にするだけで、そのリスクを大きく減らせます。
「少し面倒だな」と感じるそのひと手間が、あなたのデジタル資産を守る第一歩になります。