GitHubがハッキングされる、デスクトップアプリの更新が必要

GitHubが「GitHub Desktop」や「Atom」に関連するリポジトリへの不正な侵入を検出したと報告しました。GitHubは証明書の無効化を実施しており、macOS版GitHub DesktopとAtomのユーザーに対してアップデートの適用を呼びかけています。

Action needed for GitHub Desktop and Atom users | The GitHub Blog
https://github.blog/2023-01-30-action-needed-for-github-desktop-and-atom-users/

GitHubによると攻撃が発生したのは2022年12月6日で、攻撃者は不正な個人用アクセストークンを用いてGitHub DesktopやAtomの開発リポジトリをクローンしたとのこと。GitHubは翌日に攻撃を検出し、侵害された資格情報の無効化やユーザーおよび内部システムへの影響の調査を開始。調査の結果、不正クローンされたリポジトリにはユーザーデータが含まれていないことが明らかになりました。

ユーザーデータへの侵害は確認されなかったものの、攻撃者がコードサイニング証明書を悪用した可能性は残っています。コードサイニング証明書が悪用された場合、攻撃者がGitHub製ソフトウェアを装って悪意あるソフトウェアを配布可能となるリスクがあります。このため、GitHubはWindows向けの証明書2件とmacOS向けの証明書1件を2023年2月2日に無効化することを決定しました。

証明書の無効化に伴って、旧バージョンのmacOS版GitHub Desktopは2023年2月2日に機能停止します。このため、当該バージョンのユーザーは最新版へのアップデートが必要です。影響を受けるバージョンは以下の通り。

3.1.2
3.1.1
3.1.0
3.0.8
3.0.7
3.0.6
3.0.5
3.0.4
3.0.3
3.0.2

macOS版GitHub Desktopのアップデート手順は、以下のページで確認できます。

GitHub Desktopの更新方法 - GitHub Docs
https://docs.github.com/ja/desktop/installing-and-configuring-github-desktop/installing-and-authenticating-to-github-desktop/updating-github-desktop

また、Atomのバージョン1.63.1およびバージョン1.63.0も2023年2月2日に機能停止します。ただし、Atomの開発はすでに終了しており新バージョンの提供は実施されないため、引き続きAtomを使いたいユーザーはバージョン1.60.0にダウングレードする必要があります。

GitHubによると、Windows版GitHub Desktopのユーザーは影響を受けないとのこと。また、GitHub.comへの影響は確認されていません。