セキュリティ

SECURITY

公開：2025-03-26

【CVE-2025-30066】tj-actions/changed-filesに深刻な脆弱性、サプライチェーン攻撃の危険性が浮き彫りに

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• tj-actionsのchanged-filesに重大な脆弱性が発見
• アクセスログから機密情報が読み取られる危険性
• バージョン46より前のすべてのバージョンが影響を受ける

tj-actions/changed-filesの重大な脆弱性

2025年3月15日、tj-actionsのchanged-filesにおいて、リモート攻撃者がアクションログから機密情報を読み取ることができる重大な脆弱性が発見された。この脆弱性は46より前のすべてのバージョンに影響を与えており、2025年3月14日から15日にかけて、v1からv45.0.7までのタグが悪意のあるコードを含むコミット0e58ed8を指すように改ざんされていたことが判明している。^[1]

CVSSスコアは8.6（HIGH）を記録しており、ネットワーク経由でアクセス可能で、攻撃の複雑さは低く、特権や利用者の操作も不要とされている。この脆弱性は悪意のあるコードの埋め込み（CWE-506）に分類され、機密性への影響が特に高いと評価されているのだ。

CISAは2025年3月18日にこの脆弱性に関する警告を発表し、Known Exploited Vulnerabilities（KEV）カタログに追加した。SSVCの評価によると、この脆弱性は自動化可能な攻撃に対して脆弱であり、技術的な影響は部分的とされている。

CVE-2025-30066の影響範囲まとめ

サプライチェーン攻撃について

サプライチェーン攻撃とは、ソフトウェアの開発や提供の過程で信頼されているコンポーネントを標的とする攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• 正規の配布経路を通じて悪意のあるコードを拡散できる
• 多数のユーザーに同時に影響を与えることが可能
• 検出が困難で、被害が広範囲に及ぶ可能性が高い

今回のtj-actions/changed-filesへの攻撃では、GitHubActionsの広く使用されているコンポーネントが標的となった。この攻撃により、多くのプロジェクトのビルドプロセスが影響を受け、機密情報が漏洩するリスクにさらされることになったのだ。

tj-actions/changed-filesの脆弱性に関する考察

GitHubActionsのエコシステムにおいて、サードパーティのアクションの信頼性確保が重要な課題として浮き彫りになっている。特にバージョン管理の手法について、タグの改ざんを防ぐための堅牢な保護機能の実装が急務となっているのだ。今後は署名付きタグの義務化やイミュータブルなリリース管理の導入が有効な対策となるだろう。

セキュリティ監査とモニタリングの強化も不可欠な要素として挙げられる。CIパイプラインでのアクションのインテグリティチェックや、アクションの挙動の継続的な監視により、不正な改変を早期に検知できる体制の構築が求められているのだ。これにより、サプライチェーン攻撃のリスクを最小限に抑えることが可能となるだろう。

長期的な視点では、GitHubActionsのセキュリティアーキテクチャ全体の見直しが必要となる。特に機密情報の取り扱いについて、よりきめ細かなアクセス制御とログの保護機能の実装が望まれる。ゼロトラストの考え方を取り入れ、各アクションの権限を必要最小限に制限する仕組みの導入が効果的だろう。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-30066, (参照 25-03-26).
3271

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧