Anonymous GitHub account mass-dropping undisclosed 0-days
GitHub上で匿名アカウントが未公開のゼロデイ脆弱性を多数公開している。Exploitariumと名乗るアカウントは、過去数日間にわたって複数の0-dayエクスプロイトを大量に投稿しており、セキュリティコミュニティに波紋を広げている。これらの脆弱性は未だにCVEが割り当てられていないものも含まれ、パッチが適用される前の攻撃に悪用されるリスクが指摘されている。
背景メモ
- 「bikini」というアカウントがGitHub上で、**未公開のゼロデイ脆弱性(ベンダーがまだ修正プログラムを出していない深刻なセキュリティホール)**を12件以上、一斉公開している。標的は大手IT企業(Google、Microsoft、Apple含む)の製品。
- 各リポジトリにはPoC(概念実証コード)が含まれ、どのような攻撃が可能かを第三者が再現できる状態。通常、脆弱性の公開はベンダーが修正パッチをリリースした後に行われる「責任ある開示」が業界の慣行だが、本件はそれを無視している。
- GitHubは同プラットフォームの利用規約に基づき、悪意あるコードやルール違反のリポジトリを削除する権限を持つ。今回も該当リポジトリの一部は既に削除されたが、すべてのコードを完全に消去するのは難しい(フォークやミラーが拡散されているため)。
- ゼロデイの大量放出は、攻撃者に「パッチが存在しない脆弱性」の情報を提供することになり、標的システムへの不正アクセス、データ流出、ランサムウェア感染などのリスクを現実のものにする。セキュリティ研究者コミュニティでは、このような行為は無責任かつ危険とみなされている。