企業の「ゴースト」アカウントが大規模偵察キャンペーンでGitHub APIを悪用 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > デイリーサイバーアラート > 企業の「ゴースト」アカウントが大規模偵察キャンペーンでGitHub APIを悪用

デイリーサイバーアラート

Silobreaker-CyberAlert

ランサムウェア

ワイパー

企業の「ゴースト」アカウントが大規模偵察キャンペーンでGitHub APIを悪用

佐々山 Tacos

佐々山 Tacos

2026.07.13

企業の「ゴースト」アカウントが大規模偵察キャンペーンでGitHub APIを悪用

SecurityWeek – July 11, 2026

企業が用いるGitHub Organizationアカウント、リポジトリ、ユーザーアカウントに関する情報収集・列挙をGitHub APIを通じて体系的に実施する複数の重複したキャンペーンについて、Datadogが報告。数か月間続いているとされるこれらのキャンペーンでは、2〜5年前に登録され、以後休眠状態になっている「ゴーストアカウント」や漏洩認証情報が悪用されているという。

 

Datadogによれば、これらのキャンペーンのオペレーターらはGitHubの「ゴースト」アカウント(キャンペーンA)か、正規ユーザーの漏洩OAuthトークンまたは個人アクセストークン(PAT)を利用(キャンペーンB)し、自動化されたスクレイピングツールを使って情報収集を行うとされる。そのリクエストは一見通常のAPIトラフィックのように見え、観測されたリクエストの大半は一般に公開されているデータを対象としていた。しかし、いくつかのケースで過去の公開情報が列挙され、非公開のリポジトリがクローンされていたものとみられることが懸念材料になっているという。

 

遅くとも2025年10月から行われているとされるキャンペーンAは、列挙作業のために50件超のゴーストアカウントを使ってAPIトラフィックを送信するもの。これらのアカウントは、データ抽出ツールや分析ツール、ダッシュボードツールなどを思わせるユーザーエージェントを使用するとされ、その例としては「GitHub-Company-Scraper」や「GitHubAnalytics/1.5」などが挙げられている。これらのゴーストアカウントが発するリクエストの大半はGraphQLを、そのほかはRESTルートを標的としていたとされる。Datadogは、「この列挙作業だけで組織内部への有意義なアクセスに繋がることは稀」だと指摘。この活動の目的はむしろ偵察だろうとの考えを示した。

 

一方で、正規のGitHubユーザーの漏洩トークンを用いるキャンペーンBは、数分間にわたって数十の正規アカウントの非公開リポジトリのコミットパスを標的にしていたことが確認されている。このキャンペーンでは、ごく稀なケースではあるものの、攻撃者が偵察の段階を超えて、標的となった組織からデータを盗み出すことに成功した事例もあったとDatadogは述べている。

 

このようなタイプの悪意ある活動を検出するにあたり、防御担当者は非公開リポジトリからのデータ抽出に注意を払い、ログを調べて、ユーザーエージェントの異常な動作や、非公開リポジトリにアクセスする操作におけるユーザーエージェントの名称およびバージョンに異常がないかを確認すべきであるとDatadogはコメント。自社の環境においてどのような状態が「正常」なのかを把握ししておくことが重要だとした上で、「GitHubの監査ログストリーミングを有効にすること、ユーザーエージェントのベースラインを設定すること、プロアクティブに脅威ハンティングを行うこと、また自社のGitHub組織アカウントに特化した検知ルールを開発すること」を推奨した。

GigaWiper:複数のワイパーとランサムウェアコードを併せ持つ新たな破壊型Windowsバックドア

The Register – Fri 10 Jul 2026

ランサムウェア風の暗号化機能と複数のデータワイピング機能を併せ持つ新たな破壊型Windowsバックドア「GigaWiper」について、マイクロソフトが報告。一般的なワイパーマルウェアの多くが恐喝よりも破壊そのものを目的とする一方で、1つのモジュラーバックドアに複数の破壊性能を統合するGigaWiperの登場は、ワイパーにおける重要なシフトを反映しているという。

 

マイクロソフトによれば、同社のマルウェアアナリストは被害者環境において2つのタイプのGigaWiperを発見。いずれについても、Go言語で記述された、ストリップ処理されていないポータブル実行ファイルだったとされる。

 

1つ目のサンプルは、個々のファイルを削除するのではなく、物理的なディスクレベルで動作するスタンドアローンのワイパー(WipeMain)。ディスクの生データを上書きし、パーティションのメタデータを削除した後、Windowsのシャットダウン機能を使用し、再起動およびゼロ遅延オプションでシステムをリブートするという。

 

一方で2つ目のサンプルは上記と同じディスクワイプ機能を備えるだけでなく、永続性の確保とC2通信のセットアップというバックドア性能も有する。C2との通信モードには、以下の2種類があるとされる。

  • AMQP経由のRabbitMQ:C2サーバーからのコマンド受信
  • Redisサーバー:コマンドのステータスと出力の更新

 

各コマンドには1〜10の数字が割り当てられており、例えば「コマンド1」がスタンドアロンーワイパー「WipeMain」を呼び出すもので、「コマンド2」はWindowsの復元を無効にし、ブルースクリーン(BSOD)を表示させてデバイスをブート不能にさせるもの。また「コマンド3」は、ランサムウェアを模倣したファイル暗号化プロセスを開始させるものだという。

 

ただしコマンド3はランサムウェアを装ったワイパーであり、ランダムに生成される鍵を使ってファイルを暗号化。しかしこの鍵はどこにも保存されないことから、攻撃者自身にも被害組織にも復号が不可能となっている。マイクロソフトによれば、このコマンド3は、ランサムウェア「Crucio」のコードを多用したものであり、同一の脅威アクターがCrucioおよびGigaWiperを開発した可能性があるとの見解を示している。

 

さらにもう1つのファイル暗号化ユーティリティが、「コマンド5」により提供される。これはAES-256を用いてCBCモードでファイルを大量暗号化・復号するもの。加えて、盗み取ったファイルをMinIO Clientを使用してリモートのストレージにアップロードするためのコマンド(4)や、PowerShellコマンドを走らせるためのコマンド(7)、スクリーンショットを取得するコマンド(9)、攻撃者がVNCスタイルでシステムを遠隔操作できるようサーバーを立ち上げるコマンド(20)なども存在する。

 

マイクロソフトによれば、GigaWiperはCrucioランサムウェア、FlockWiper、スタンドアローンのディスクワイパーという少なくとも3種の別のマルウェアファミリーのコンポーネントを組み込んでいるとされる。同社は、これらの発見が同脅威アクターのツールの進化を示すとコメントした上で、「単一の強力なバックドアに機能がマージされたことで、このアクターは感染したシステムをより多くの手法でコントロール・破壊できるようになっている」と指摘している。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ