「GitHub」のRSA SSH秘密鍵が漏洩、公開リポジトリに短期間露出

公式ブログ「The GitHub Blog」でのアナウンス

　米GitHubは3月23日（現地時間）、「github.com」のRSA SSH秘密鍵が漏洩したことを明らかにした。3月24日午前5時（UTC）頃にRSA SSHホスト鍵を交換し、問題は解決されたとしている。

　同社によると、この事故は「GitHub」のシステムや顧客情報が侵害された結果ではないとのこと。何らかの手違いで、「GitHub」の公開リポジトリに短期間、秘密鍵が露出してしまったようだ。公開された鍵が悪用された形跡はないが、慎重を期して鍵の入れ替えを行ったという。

　交換されたのは「github.com」のRSA SSH鍵のみで、ECDSAやEd25519を利用している場合は影響はない。「github.com」のWebトラフィックやHTTPS経由の「Git」操作にも影響しない。問題となるのはSSH経由で「Git」を操作するケースのみで、エラーメッセージが表示された場合は、古い鍵を削除する必要がある。