世界中の開発者がコードを預ける場所、GitHub。その運営会社の内部リポジトリが、たった1つのVS Code拡張機能を入り口に約3,800件も流出していたことが明らかになりました。狙ったのは、開発者ツールばかりを連続して襲ってきた攻撃グループTeamPCP。攻撃の入口は、社員のPCに入っていた汚染版の「Nx Console」という拡張機能でした。GitHubは「顧客データへの影響を示す証拠は今のところない」としていますが、開発者が当たり前のように使うツールが、これほどの規模の侵害の起点になりうる現実は重く受け止める必要があります。
GitHubは2026年5月20日、同社内部リポジトリへの不正アクセスに関する追加詳細を、公式X(旧Twitter)アカウントと公式ブログで公開した。同社によれば、5月18日(月)に第三者が公開した悪意あるVS Code拡張機能が関与した従業員デバイスへの侵害を検知・封じ込め、エンドポイントを隔離してインシデント対応を開始した。
現時点での評価では、活動はGitHub内部リポジトリのみの外部持ち出しに関わるものであり、攻撃者が主張する約3,800リポジトリという数字は調査結果と方向性が一致するとした。重要な認証情報は5月18日から翌19日(火)にかけてローテーションを実施。内部リポジトリ外に保存された顧客情報への影響を示す証拠は現時点でないとする一方、内部リポジトリの一部にはサポート対応の抜粋など顧客由来情報が含まれる可能性があり、影響判明時には顧客に通知するとしている。
From: 
GitHub(@github)公式X投稿|内部リポジトリへの不正アクセスに関する続報スレッド(2026年5月20日)
From: GitHub公式ブログ|Investigating unauthorized access to GitHub’s internal repositories(2026年5月20日)
【編集部解説】
今回の事案がもたらす衝撃は、流出規模の数字以上に「開発現場の信頼構造そのものに刃が入った」という点にあります。GitHubは世界中の開発者が日常的に依拠するインフラであり、そのインフラを運営する側の社員端末が、信頼されていたはずのIDE拡張機能経由で侵害された——この事実が含む示唆は決して小さくありません。
事件の輪郭を振り返ると、攻撃者TeamPCPはここ数ヶ月、サプライチェーン攻撃を立て続けに仕掛けています。2025年9月にnpmエコシステムを揺るがした「Shai-Hulud」ワームの系譜を引き継ぎ、2026年に入ってからは「Mini Shai-Hulud」と呼ばれる派生キャンペーンを断続的に実行してきました。5月15日にはOpenAIの社員端末2台がTanStack関連のnpm汚染で侵害されたことが明らかになり、本件のわずか数日前には同グループが自らの攻撃用ワームをGitHub上でMITライセンスのもとオープンソース化するという異例の動きまで観測されました。さらに今回のGitHub事案公表の前日(5月19日)には、データ可視化ライブラリ群「@antv」関連の323のnpmパッケージが侵害され、その後の集計では637もの悪意あるバージョンが公開される攻撃が行われたばかりです。今回GitHub公式が侵害経路として示した拡張機能は、Nxという人気のモノレポ管理ツール向け開発支援拡張機能「Nx Console」の汚染版(セキュリティアドバイザリGHSA-c9j4-9m59-847w)です。点で見える事件は、線で見ると一連の作戦行動の一部だと捉える必要があります。
注目すべきは攻撃の入り口——VS Code拡張機能の構造的な弱さです。VS CodeにはWorkspace Trustというフォルダ単位の信頼設定があり、信頼していないワークスペースでのコード実行を抑制する仕組みは存在します。しかしいったん拡張機能を信頼して有効化すると、ブラウザ拡張機能のような細粒度の権限宣言モデルは持たず、ソースコード、認証情報、ターミナル、ローカルファイルへ広くアクセスできる権限を持つことになります。テーマ系の拡張機能であってもデバッガであっても、許される範囲は本質的に同じです。
GitHubの公表文を慎重に読むと、「GitHub内部リポジトリのみ」「顧客情報への影響を示す証拠は現時点でない」という表現には、法務・広報的な配慮が滲んでいます。とくに公式ブログでは、内部リポジトリの一部にサポート対応の抜粋など顧客由来情報が含まれる可能性があり、影響が判明した場合は通知すると明記されています。顧客の生データそのものが直接流出した証拠は現時点でないとはいえ、デプロイ構成、シークレットのローテーション設計、CIワークフロー、サードパーティ連携情報など、「次の攻撃を組み立てるための設計図」となりうる情報が含まれた可能性は残ります。直接の被害ではなく、後続攻撃の難易度を下げる二次的影響を生む懸念は払拭できていません。
開示の在り方も論点として残ります。今回GitHubは当初X上のスレッド投稿で詳細を共有し、その後公式ブログ(著者はGitHub CISOのAlexis Wales氏)にも掲載しました。ただしXはログインしないと閲覧しづらく、EUのDORAやNIS2など重大インシデント通知に厳格な期限を定める枠組みの下にある顧客企業からは、より早期かつ公式な情報源での開示を求める声が上がっています。プラットフォーム事業者の開示作法は、今後規制側からも改めて問われる論点になりそうです。
日本の読者にとっての実務的な含意も整理しておきたいところです。VS Codeは国内でも開発現場で広く使われており、GitHubは多くの企業・個人にとって事実上の標準インフラとなっています。今日からできる対策としては、拡張機能の自動更新の見直し、業務用端末での発行元(パブリッシャー)信頼リストの厳格化、Workspace Trustを未信頼ワークスペースで有効に保つこと、CI/CDで使う個人アクセストークンの権限最小化などが挙げられます。
長期的な視点で見れば、今回の事案は「開発者向けツールのセキュリティモデルが、それが扱う資産の重要性に追いついていない」という構造的な遅れを露呈しました。OSやブラウザではサンドボックスや権限分離が常識化していますが、IDEはいまだ性善説に近い設計思想を残したままです。今後、拡張機能ごとの細粒度な権限グラント、署名検証の強化、振る舞い検知の標準化といった方向に業界が動く契機になるかもしれません。GitHubが「最も目立った被害者」となった意味は、単なる事件報告を超えて、開発者文化そのものに静かな問いを投げかけています。
【用語解説】
TeamPCP
2026年に活発化した、金銭的動機が指摘されるサイバー犯罪グループ。Google Threat Intelligence Groupでは「UNC6780」として追跡されている。npm、PyPI、PHPパッケージや開発ツールを標的としたサプライチェーン攻撃を連続的に仕掛けてきたことで知られる。
Shai-Hulud / Mini Shai-Hulud
2025年9月にnpmエコシステムで初確認された自己複製型ワーム「Shai-Hulud」と、その派生キャンペーンの総称。感染したパッケージが開発者の認証情報を盗み、その認証情報を使って別のパッケージへ自動的にマルウェアを混入させて拡散していく構造を持つ。「Mini Shai-Hulud」は、より小規模で集中的な変種を指す呼称として用いられている。
サプライチェーン攻撃
ソフトウェアの依存ライブラリ、開発ツール、配信経路などに不正なコードを忍び込ませ、開発者や利用企業へ間接的に侵入する攻撃手法。利用者は信頼するパッケージや拡張機能を経由するため、検知が極めて困難である。
IDE拡張機能 / VS Code拡張機能
統合開発環境(VS Code、JetBrains系製品など)に追加機能を提供する小さなプログラムを指す。ソースコード、ターミナル、ファイルシステム、認証情報など、利用者本人と同等の権限で動作するのが一般的である。VS CodeにはWorkspace Trustというフォルダ単位の信頼設定があるものの、有効化された拡張機能の実行範囲を細粒度に制限する権限宣言モデルは持たない。
Nx Console(nrwl/nx-console)
モノレポ管理ツール「Nx」の開発支援用VS Code拡張機能。今回の侵害事案でGitHub公式が侵害経路として示した汚染版が存在し、セキュリティアドバイザリGHSA-c9j4-9m59-847wとして公開されている。
エクスフィルトレーション(exfiltration)
攻撃者が侵入先のシステムから機密データを外部へ持ち出す行為。サイバーセキュリティ分野では「データ侵害」とほぼ同義で使われる場面が多い。
シークレット / ローテーション
シークレットとは、APIキー、アクセストークン、データベース接続情報、署名鍵など、システム間のアクセスに用いる機密文字列の総称だ。ローテーションとは、定期的または事故発生時に、これらを新しい値へ差し替える運用を指す。
個人アクセストークン(PAT)
GitHubなどのプラットフォームにおいて、ユーザー名・パスワードの代替としてAPIアクセスに使用する長い文字列。漏洩すると、そのユーザーの権限で他者がリポジトリを操作できてしまうため、権限スコープと有効期限を最小限に絞る運用が推奨される。
DORA / NIS2
DORAはEUのデジタル・オペレーショナル・レジリエンス法(Digital Operational Resilience Act)、NIS2はEUのネットワーク・情報セキュリティ指令第二版を指す。いずれも重大インシデント発生時の通知期限や、サプライヤー側の情報開示義務を定めており、対象企業に対して迅速かつ公式な開示を要求している。
Workspace Trust
VS Codeに搭載されているフォルダ単位の信頼設定機能。信頼していないワークスペースを開いた際、拡張機能のコード実行などを抑制することで、未知のリポジトリを開く際のリスクを軽減する。今回の事案を踏まえ、業務端末で改めて運用を見直す価値がある。
サンドボックス
プログラムを隔離された環境で実行し、ホストシステムへのアクセスを制限する仕組み。ブラウザやOSでは一般的だが、IDE拡張機能の世界では十分に普及していないのが現状である。
【参考リンク】
GitHub 公式サイト(外部)
世界最大のソースコード管理プラットフォーム。Microsoft傘下で、今回の侵害事案を公表した当事者にあたる組織である。
Nx Console セキュリティアドバイザリ(GHSA-c9j4-9m59-847w)(外部)
侵害経路としてGitHub公式が示したNx Console拡張機能の汚染版アドバイザリ(GHSA-c9j4-9m59-847w)。
GitHub Status(外部)
GitHub各サービスの稼働状況をリアルタイム公開する公式ステータスページ。障害情報や復旧履歴を時系列で確認できる場所。
Visual Studio Code 公式サイト(外部)
Microsoftが無償提供する高機能ソースコードエディター。今回の侵害経路となった拡張機能のホスト環境にあたる開発ツール。
Visual Studio Code: Workspace Trust 公式ドキュメント(外部)
VS Codeのフォルダ単位信頼機能の公式解説。今回の事案を踏まえて改めて確認したい運用設計の基礎情報となる。
Visual Studio Marketplace(外部)
VS Code用拡張機能の公式配信マーケットプレイス。今回の攻撃でも悪意ある拡張機能の配布経路として悪用された場所である。
npm 公式サイト(外部)
JavaScriptの事実上の標準パッケージレジストリ。Shai-Hulud系サプライチェーン攻撃の主要な舞台となっている。
AntV 公式サイト(外部)
Ant Groupが主導するデータ可視化ライブラリ群の総称。5月19日にTeamPCPによるnpmパッケージ侵害を受けた。
【参考記事】
GitHub Confirms Hack Impacting 3,800 Internal Repositories(外部)
GitHub公式が3,800リポジトリ侵害を確認した経緯と、TeamPCPが5万ドル以上で販売提示したとされる動向を整理した英語記事。
Mini Shai-Hulud Hits AntV: 300+ Malicious npm Packages Published via Compromised Maintainer Account(外部)
5月19日の@antv関連npm侵害について323パッケージ・637悪意バージョン・週間約1,600万DLという最新数値で解説した記事。
Shai-Hulud 2.0: Guidance for detecting, investigating, and defending against the supply chain attack(外部)
Microsoft Security ResearchによるMini Shai-Hulud攻撃の公式分析。170以上のnpmと2件のPyPI被害を報告した記事。
GitHub internal repositories breached(外部)
Sophosが本侵害事案を整理。TeamPCP=UNC6780、3,800リポジトリ流出、5万ドル以上の販売提示など主要数値を網羅。
TeamPCP breached GitHub’s internal codebase via poisoned VS Code extension(外部)
GitHub公式声明を早期に引用し、顧客データへの非影響と「方向性が一致」表現の慎重な意味合いを扱った英語速報記事。
GitHub Breach May 2026: All You Need to Know(外部)
X単独公表の経緯、自社ブログや公式ステータスへの未掲載、DORA・NIS2など規制枠組みとの関係まで踏み込んだ解説記事。
GitHub Hacked: TeamPCP Exfiltrates 3,800 Internal Repositories via Malicious VS Code Extension(外部)
GitHub社内侵害について約3,800リポジトリ流出、検知タイミング、初動対応の時系列を整理した英語の独立系分析記事。
【関連記事】
本件のわずか直前に起きたTeamPCPの動きを扱った記事です。本件の文脈を理解するうえで、まずこちらをご一読いただくことを強く推奨します。
TeamPCPがShai-HuludワームをGitHubでオープンソース化、MITライセンスでマルウェアが「民主化」される異例の事態
本件直前の事案。TeamPCPが自らの攻撃用ワーム「Shai-Hulud」をGitHub上にMITライセンスで公開し物議を醸した経緯を解説。
OpenAI、TanStack npmサプライチェーン攻撃で社員端末2台が侵害—macOS版ChatGPT等は6月12日までに更新必須
TanStack関連npmパッケージ汚染でOpenAIの社員端末2台が侵害された、本件と同じ「社員端末経由」パターンの直近の先行事例である。
「守る側」が繰り返し狙われる理由|Trellix ソースコードリポジトリ侵害
セキュリティ企業Trellixの社内ソースコードが流出した事案。「防御側の設計図が狙われる」という本件と同じ構図を扱う参考記事。
マネーフォワード『GitHub』不正アクセス、ビジネスカード370件流出可能性──銀行連携を一時停止
マネーフォワードのGitHub不正アクセスにより370件流出の可能性。日本国内で起きたGitHub起点の類似インシデントを扱った報道。
「信頼できるパッケージ」が崩壊?Shai-Hulud 2.0が示すnpmサプライチェーン攻撃の新段階
今回のキャンペーン系譜の原点。Shai-Hulud 2.0がnpmサプライチェーン攻撃にもたらした「新段階」を体系的に解説した基礎記事。
セキュリティツールが凶器になる日—TeamPCPによるTrivy・LiteLLM侵害の全容
TeamPCPの初期活動を整理した記事。TrivyやLiteLLMを経由したサプライチェーン攻撃の全容と、攻撃グループの背景情報。
VS Codeを開いた瞬間に感染。北朝鮮ハッカーが仕掛ける「採用面接」という新たな罠
VS Codeを開いた瞬間に感染する北朝鮮ハッカーによる採用面接型攻撃。IDE経由侵害という別系統の先行事例として参考になる。
【編集部後記】
この記事を書きながら、私自身もふと自分の手元のVS Codeを見つめ直してしまいました。便利だから、流行っているから、評判がいいから——拡張機能やパッケージを入れる動機の多くは、案外そんなところに集まっています。今回の事案は、その何気ない選択の一つひとつが、開発という営みに関わる人にとって決して小さくない出発点になりうることを思い出させてくれました。
不安を煽りたいわけではありません。ただ、新しいツールに触れるとき、ほんの少しだけ「これを動かしているのは誰なのか」「この信頼はどこから来ているのか」と問い直す癖をつけておくと、いざという時の判断が早くなります。みなさんがいま使っている開発環境やサービスについて、信頼の根拠を再確認してみる週末になれば嬉しいです。安心して新しい一歩を踏み出せる土壌を、これからも一緒に整えていきましょう。
