Security alert: new phishing campaign targets GitHub users|The GitHub Blog
このキャンペーンでは、ユーザーのCircleCIセッションの期限切れを装いGitHubの認証情報を使ってログインさせようとするフィッシングメッセージが使われていたという。リンクをクリックするとGitHubのログインページのように見えるフィッシングサイトに移動され、入力された認証情報が窃取されてしまうとのことだ。
タイムベースド・ワンタイムパスワード(TOTP: Time-based One-time Password)ベースの二要素認証を有効にしていても、フィッシングサイトがタイムベースド・ワンタイムパスワードコードを攻撃者とGitHubにリアルタイムで中継することで、保護されているアカウントに侵入することが可能と説明されている。なお、ハードウェアセキュリティキーで保護されているアカウントは、この攻撃に対して脆弱ではないとも報告されている。
GitHubはこのキャンペーンを分析した後、GitHubユーザーを守るために攻撃に利用されたアカウントの一時停止や影響を受けたユーザーのパスワードのリセット、脅威者が追加した認証情報を削除するなどの処置を行ったと述べている。また影響を受けたすべてのユーザーおよび組織に対して通知を送っており、通知メールが届いていない場合はこのキャンペーンの影響を受けていないと説明している。さらに、GitHubは今回のようなフィッシング攻撃を防ぐために、ハードウェアセキュリティキーまたはWebAuthn 2FAの使用を検討するよう、呼びかけている。