CISAの機密認証情報がGitHubで公開されていた理由

漏えいしていたデータの内容

公開されていたファイルには、CISAやDHSのシステムに関連するさまざまな機密情報が含まれていました。

主な例として以下が報告されています。

• 平文のユーザー名とパスワード
• AWS GovCloudの認証情報
• クラウドアクセスキーや認証トークン
• Kubernetes設定ファイル
• ArgoCDのデプロイ設定
• Entra IDのSAML証明書
• 内部ログや運用ファイル

特に問題視されたのは、高権限のAWS GovCloudアカウントに関連する認証情報が含まれていた点です。

AWS GovCloudは米国政府機関や防衛関連組織が利用する特別なクラウド環境であり、適切な権限を持つ認証情報があればインフラやサービスに直接アクセスできる可能性があります。

発見したのはセキュリティ研究者

この問題を発見したのは、セキュリティ企業 GitGuardian の研究者 ギヨーム・ヴァラドン（Guillaume Valadon） でした。

GitGuardianは、GitHubなどの公開コードリポジトリを自動スキャンし、パスワードやAPIキーなどの「秘密情報」が誤って公開されていないかを検出する仕組みを運用しています。

そのスキャンの過程で「Private‑CISA」リポジトリが検出され、内部に多数の認証情報が含まれていることが確認されました。

同社はリポジトリの管理者に通知を試みましたが返答が得られなかったため、ヴァラドン氏は2026年5月15日にサイバーセキュリティ記者 ブライアン・クレブス（Brian Krebs） に連絡。クレブス氏の報道によって問題が公になり、当局にエスカレーションされました。

その後、問題のリポジトリはオフラインになりました。

想定されるセキュリティリスク

公開状態のリポジトリに認証情報が含まれていた場合、第三者がそれを取得して不正アクセスに利用する可能性があります。

もし認証情報がまだ有効だった場合、理論上は次のようなアクセスが可能だったと指摘されています。

• AWS GovCloud上の政府クラウドインフラ
• CISAの内部開発・運用システム
• 認証・ID管理サービス
• DevOpsパイプラインや構成管理システム

研究者によれば、発見時点で 一部の認証情報はまだ有効に見えた と報じられています。

ただし現時点で、第三者による悪用や侵害が確認されたという公的な証拠は報告されていません。

CISAの公式見解

CISAはこの問題について調査を実施していることを認めています。

複数の報道によると、同機関は

• 機密データが侵害された証拠はない
• 実際のシステム侵害も確認されていない

と説明しています。

また、同様の問題を防ぐための対策を検討しているとしています。

この事件は米議会でも関心を集め、議員からは「どのようにして認証情報が公開状態になったのか」について説明を求める動きも出ています。

なぜ特に問題視されたのか

この出来事が大きな注目を集めた理由は、CISAの役割にあります。

CISAは米国政府における 民間・公共部門のサイバーセキュリティを指導する中心機関 であり、企業や政府機関に対して次のようなベストプラクティスを発信しています。

• 認証情報の適切な管理
• シークレット管理
• セキュアなDevOps運用
• 公開リポジトリへの機密情報コミット防止

つまり、他組織に注意を促しているのと同じミスが内部で起きていたことが、強い皮肉として受け止められました。

この事件が示す教訓

こうした事故は政府機関に限らず、ソフトウェア開発の現場では珍しくありません。開発者が誤ってパスワードやAPIキーをコードと一緒にコミットしてしまい、そのまま公開リポジトリに残ってしまうケースが多く報告されています。

現在では、GitHubなどの公開プラットフォームを自動スキャンして秘密情報を検出するツールが広く使われています。今回のケースでも、そのようなスキャンによって問題が発見されました。

それでも今回の事件は、たった一つの設定ミスや管理ミスが、政府レベルの重要インフラにまでアクセスできる可能性を生むことを改めて示した例と言えます。