世界最大級の開発プラットフォームGitHubが2026年5月、社内リポジトリへの不正アクセス被害を受けていたことを公表しました。原因となったのは、開発者に広く利用されているVisual Studio Code(VS Code)の拡張機能に仕込まれた悪意あるコードです。
GitHubによると、従業員の開発端末が侵害され、内部リポジトリに保存されていたソースコードや関連データが外部へ送信された可能性があります。攻撃者側は約3800件のリポジトリへのアクセスを主張しており、GitHubも「概ね調査結果と一致している」と認めています。
今回の事件は単なる情報流出ではなく、近年急増している「サプライチェーン攻撃」の危険性を改めて浮き彫りにしました。

🔓 発端はVS Code拡張機能、わずか数十分の公開で大規模侵害へ
今回侵入経路となったのは、VS Code向けの人気拡張機能「Nx Console」です。
問題となったバージョンは、
- 🚨 Nx Console 18.95.0
- ✅ 修正版 18.100.0
となっています。
悪意あるバージョンは、
- Visual Studio Marketplace:約18分
- OpenVSX:約36分
という非常に短い時間しか公開されていませんでした。
しかし開発者向けツールは自動更新されることも多く、この短時間でも被害が発生するには十分だったとみられています。

GitHubは2026年5月18日に異常を検知し、
- 問題バージョン削除
- 侵害端末隔離
- 緊急調査開始
- 認証情報ローテーション
などの対応を即座に実施しました。
🛠️ VS Code拡張機能が危険な理由
VS Code拡張機能は単なるアドオンではありません。
開発者の作業環境に深く入り込み、
- コード補完
- GitHub連携
- Docker操作
- クラウド接続
- CI/CD連携
などを実現しています。
つまり拡張機能は非常に高い権限を持っており、悪意あるコードが含まれると開発者PCそのものを乗っ取ることが可能になります。
今回のマルウェアが狙っていたとされる情報は以下の通りです。
🎯 標的となった認証情報
- GitHubトークン
- npmトークン
- AWS認証情報
- Google Cloud認証情報
- Docker認証情報
- Kubernetes設定
- SSH秘密鍵
- HashiCorp Vault
- 1Password
- データベース接続情報
さらに取得した情報は、
- HTTPS通信
- GitHub API
- DNSトンネリング
など複数経路を使って外部へ送信されていたと報告されています。
⚠️ GitHub利用者への影響はあるのか?
現時点でGitHubは、
「顧客のリポジトリや組織情報が侵害された証拠は確認されていない」
と説明しています。
今回流出したとされるデータは主に、
- GitHub内部リポジトリ
- 社内開発コード
- 運用関連資料
に限定されているとのことです。
ただしGitHub内部リポジトリには、
- サポート対応履歴
- デバッグ情報
- 顧客関連メモ
などが含まれる場合もあるため、今後追加調査で影響範囲が拡大する可能性は残されています。
GitHubは、
- ログ分析
- シークレット再発行
- 継続監視
を進めており、影響を受けた顧客には個別通知を行う方針を示しています。
🕵️ 背後にいるのは「TeamPCP」か?
セキュリティメディアによると、サイバー犯罪フォーラム「Breached」上で活動する攻撃グループ「TeamPCP」が今回の犯行を主張しています。
攻撃者は、
- GitHubソースコード
- 約4000件のプライベートリポジトリ
へのアクセス権を保有していると主張し、盗み出したデータを約5万ドル(約800万円)で販売しようとしていたと報じられています。
ただしGitHubは現時点で、
「TeamPCPが攻撃者であると断定していない」
としています。
それでもTeamPCPは過去にも、
- npmパッケージ
- OSSライブラリ
- CI/CDシステム
などを狙った攻撃との関連が指摘されており、開発者コミュニティでは警戒が高まっています。
🔥 急増する「サプライチェーン攻撃」の脅威
今回の事件で注目されているのは、攻撃手法そのものです。
攻撃者はGitHubを直接攻撃したわけではありません。
代わりに、
サプライチェーン攻撃の標的
- VS Code拡張機能
- npmパッケージ
- OSSライブラリ
- CI/CDツール
- GitHub Actions
など、開発者が日常的に信頼して利用する仕組みを狙っています。
この手法は近年急増しており、
- SolarWinds事件
- 3CX事件
- XZ Utilsバックドア事件
- LiteLLM改ざん事件
など世界的なインシデントでも利用されました。
一度信頼されたソフトウェア配布経路が侵害されると、数千から数万の組織へ一気に侵入できるため、攻撃者にとって非常に効率の良い手法となっています。
🛡️ 開発者が今すぐ見直すべきセキュリティ対策
今回の事件はすべての開発者にとって他人事ではありません。
特にVS Code利用者は以下の対策を検討するべきでしょう。
✅ 基本対策
- 拡張機能は必要最小限にする
- 不要な拡張機能を削除
- 自動更新履歴を確認
- APIキーを定期的にローテーション
- SSH鍵の利用状況を監査
🔐 強化対策
- GitHubのMFA必須化
- パスワードマネージャ利用
- 開発端末と業務端末の分離
- シークレット管理システム導入
- 拡張機能の権限レビュー
特に最近はAI開発ブームで多くのAPIキーを扱うケースが増えており、認証情報の管理はこれまで以上に重要になっています。
📝 まとめ
GitHubで発生した今回の情報流出は、VS Code拡張機能を悪用したサプライチェーン攻撃によるもので、約3800件の内部リポジトリが影響を受けた可能性があります。
現時点では顧客データへの直接的な影響は確認されていませんが、開発ツールそのものが攻撃対象となる時代に入ったことを改めて示す事件となりました。
AI開発やクラウド利用が拡大する中、開発者が利用する拡張機能やライブラリは今後も主要な攻撃対象となる可能性があります。便利さだけでなく、「本当に信頼できるソフトウェアなのか」を常に確認する姿勢が求められる時代になったと言えるでしょう。
参考・出典
- GitHub Security Blog
- Nx Console Security Advisory
- BleepingComputer
- Microsoft Visual Studio Marketplace
