GitHubは2026年5月20日、日本時間8時48分、GitHubの内部リポジトリへの不正アクセス疑いを調査していると公式Xアカウントに投稿した。
We are investigating unauthorized access to GitHub’s internal repositories. While we currently have no evidence of impact to customer information stored outside of GitHub’s internal repositories (such as our customers’ enterprises, organizations, and repositories), we are closely…
— GitHub (@github) May 19, 2026
投稿では、顧客のEnterprise、Organization、リポジトリなど、GitHubの内部リポジトリ外に保存されている顧客情報への影響は、現時点で確認されていないとしている。一方で、後続の活動がないか、インフラ全体の監視を続けているという。
GitHubは続く投稿で、影響が確認された場合には、所定のインシデント対応および通知経路を通じて顧客へ連絡すると説明した。
この告知の前には、TeamPCPというグループが、GitHubの内部ソースコードや内部組織データを販売すると主張しているとの情報も出ていた。その情報によれば、販売対象には約4000件のプライベートリポジトリが含まれるとされる。現在のところ、この主張の真偽は確認されておらず、GitHubの投稿もこの情報との関連には触れていない。
追記:GitHub、従業員端末の侵害を確認
GitHubはその後、調査に関する追加情報を公式Xに投稿した。投稿によると、GitHubは前日、不正なVS Code拡張機能によって従業員端末が侵害されたことを検知し、封じ込めた。問題の拡張機能のバージョンを削除し、対象端末を隔離したうえで、直ちにインシデント対応を開始したという。
1/ We are sharing additional details regarding our investigation into unauthorized access to GitHub's internal repositories.
— GitHub (@github) May 20, 2026
Yesterday we detected and contained a compromise of an employee device involving a poisoned VS Code extension. We removed the malicious extension version,…
現時点の評価では、外部に持ち出されたのはGitHubの内部リポジトリに限られるとしている。また、攻撃者が現在主張している約3800件という数について、これまでの調査とおおむね整合していると説明した。
GitHubは、重要なシークレットを前日から夜間にかけてローテーションしたとも説明している。影響の大きい認証情報を優先したという。引き続きログ分析、シークレットローテーションの検証、関連する活動の監視を行い、調査完了後により詳しい報告を公開するとしている。
※編注:GitHubの追加投稿を受け、記事タイトルと本文を更新しました。