GitHub Action “tj-actions/changed-files” に対するサプライチェーン攻撃

概要

GitHub Actionsに対するサプライチェーン攻撃。GitHub Action tj-actions/changed-filesが侵害され、影響を受けたリポジトリから秘密情報が漏洩しました。攻撃者はリポジトリへのアクセス権を持つボットによって、使用されているGitHub個人用アクセストークン(PAT)を侵害し、CIワークフローに悪意のあるコードを注入することができました。

影響を受けたシステム

攻撃者はすべてのバージョンのtj-actions/changed-filesに影響を与え、バージョンタグを悪意のあるコードにリダイレクトするように変更しました。このアクションを使用したパブリックリポジトリではワークフローログで秘密情報が漏洩しました。プライベートリポジトリは不正なユーザーによるアクセスがない限りリスクが限定されました。

対策

  • tj-actions/changed-filesの使用を停止し、安全な代替品に置き換えます。
  • リポジトリのすべてのブランチから侵害されたアクションへの参照を削除します。
  • 漏洩した秘密情報を即座に変更します。(変更前に秘密情報のさらなる漏洩を防ぐため、露出しているワークフローログをダウンロードします)
  • (予防措置) GitHub Actionsを特定のコミットハッシュに固定し、バージョンタグではなくする。
  • (予防措置) GitHubの許可リスト機能を使用して未承認のアクションをブロックし、GitHubを信頼できるアクションのみを実行可能にするように設定します。

Note

https://www.wiz.io/blog/github-action-tj-actions-changed-files-supply-chain-attack-cve-2025-30066?is=f18187d74aadc6d83c87733219735f334b9b21256eadc2487f54af0d2f3f8e2e

セキュリティに関する情報をフォロー

セキュリティ運用・保守

クマひよ工房では、EC-CUBEなどのECシステムやWordpressを使ったWebサイトなどのセキュリティ運用・保守サービスを提供しております。