こんにちは、ハチコです。

先月の支出を見直そうと、
家計簿アプリを開いたら
こんなタイトルが目に飛び込んできました。

『GitHubへの不正アクセス発生』

…ヒヤッとしました。

日々 GitHub を触っている身としては、
他人事じゃありません。

今日は、GitHub を個人で使っている人が
この一件をきっかけに

何を見直しておくとよいか、
あらためて考えてみたいと思います。

全部漏洩したわけじゃない

不安に思った方もいらっしゃると思うので
まず、問題なかったデータについて。

5/3付けの公式発表によると、
金融機関等連携先の
ログインに必要な情報は
含まれていないとのこと。

ここは本当に良かったです。
ほっとしました。

家計や資産の情報が外に出ていたら、
被害の桁が変わってしまいますからね。

じゃあ今回、
どんな経緯でどんな情報が
漏洩してしまったのでしょう。

運用ルールはあったものの…

公式サイトの発表によると、
通常、個人情報は
GitHub で管理するソースコードには
含めない運用としていたそうです。

これは当然のことですね。

ただ今回は、

個人情報を扱うサービスの更新作業中に、
本来の手順から外れて、
個人情報入りのファイルを
誤って GitHub 上に保管してしまった、

ということでした。

サービスの更新をするときは
更新前のプログラムやデータを
とっておくのが一般的です。

流れとしては
普段の手順と違うため、
ミスが発生しやすい状況ではありますね。

2つの条件がそろってしまった

そして、その非常によろしくない状況下で
GitHub の認証情報も漏えいしており、

不正アクセスで
そのファイルが読まれてしまった。

つまり、
個人情報を GitHub に
置いてしまった件と、
GitHub の認証情報が漏れた件。

この2つの問題が重なった結果、
今回の情報漏えいにつながった、
ということになります。

非公開モードだとしても
GitHubには大事な情報を
アップしないでね

といわれる理由は
こういう事態を避けるためなんです。

プログラムを書く人だけの話じゃない

最近は、AI で作ったものや書いたものを
GitHub で管理する人が増えました。

管理できるものは
プログラムだけではありません。

ドキュメントだって画像だっていいんです。

今回のような事件があったとき
「開発はしてないから関係ないや〜」
とスルーするのは危険です。

たとえば、
X の投稿を API を使って、
エージェントに自動投稿している、とか。

ChatGPT や Claude の API キーを
忘れないようにメモしている、とか。

その仕組みを
GitHubで管理しているなら
大いに関係があります。

その大事な情報が入ったファイルを
GitHub に登録していませんか？

点検するべき３つのポイント

事件は起きないに
越したことはないですよね。

でも、起きてしまったのなら、
今後に活かすしかありません。

自分の身の周りを
見直すきっかけにしましょう！

具体的に何を見直すとよいか、まとめておきますね！

1）.gitignore の中身を見る

ログイン情報や、
API キーの入ったファイルが、
ちゃんと管理対象外になっているか
確認してみましょう。

2）過去に登録したファイルを確認する

.gitignore に書いてあっても、
その前に GitHub の管理対象にしたものは
引き続き GitHub にアップされます。

特に GitHub を使い始めた頃に
よくわからないまま
全ファイルを GitHub に登録していた
なんてことはよくあります。

昔のプロジェクトをざっとみて
API キーやログイン情報が
含まれていないか確認してみましょう。

3）GitHub のログイン情報を見直す

GitHub 自体のパスワードを、
他のサービスと使い回していないですか？

他サービスの認証を使っている場合は
そちらが二段階認証になっているかなど
点検してみましょう。

自動化を楽しむための「土台」を整える

GitHub は、サーバーの上でファイルの
バージョン管理をしてくれる
とーーっても便利な仕組みです！

ぜひこれからも活用していきたいですね。

でも、便利な道具だからこそ、
ちょっとした取り扱いの違いで
今回のような事故にもつながります。

今一度、自分の GitHub を
確認してみてください♪

ここまでお読みいただき
ありがとうございました！！