チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「GitHub.comは安心して使えると思っていたのに、git pushでサーバーが乗っ取られる脆弱性って本当?」
「うちはオンプレのGitHub Enterprise Serverを使っているけど、何をすればいい?」
チップスボス、git pushしただけで他人のリポジトリまで覗けるなんて、信じられないでしゅよ……。
ボスふふふ、Wizが発見したCVE-2026-3854は、GitHub内部のX-STATというコンポーネントに対するインジェクションが入り口だ。GitHub.com側は2時間以内に修正されたが、GHESは3.19.3への更新が今でも必須だな。
2026年4月29日、Wiz Researchが「git pushひとつで任意コード実行が可能なGitHubの重大脆弱性CVE-2026-3854」を公表しました。
GitHub.comは即時修正済みですが、自社運用のGitHub Enterprise Server(GHES)では修正適用が遅れている組織が多く、公開時点でもインターネット上の88%が脆弱なままと報告されています。
本記事で攻撃の仕組みと組織が取るべき対応を整理します。
自社のGHESや、GitHub上のソースコード資産を守るうえで重要な事案です。
本件の核心を押さえておきましょう。
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート相談可)/Entra ID・セキュリティ改善
本件はGitHubの内部処理パイプラインそのものを揺るがす脆弱性です。基本情報から確認しましょう。
CVE-2026-3854はWiz Researchが2026年3月4日に発見し、GHES 3.19.1上でRCEを実証したのちGitHubへ報告した脆弱性です。
GitHub.com側はGitHubが2時間以内に修正をデプロイし、追加でフォレンジック調査を実施しました。
影響範囲は以下のとおりです。
| 項目 | 内容 |
|---|---|
| CVSS | 8.7(高) |
| GitHub.com | 修正済み(追加対応不要) |
| GHES修正版 | 3.19.3以降 |
| 攻撃前提 | 認証済みユーザー+git push |
チップスGitHub.comの修正が2時間って早すぎでしゅ!でもGHESは自社で当てなきゃいけないんでしゅよね?
ボスそうだ。クラウド版とオンプレ版で対応が分かれる典型例だな。日本企業もGHESを業務基盤として使うケースが増えており、運用責任を意識しなければならん。
Wizによれば、GitHub.com上では本脆弱性の悪用により共有ストレージノードでRCEが成立し、他のユーザー・組織に属する数百万のリポジトリへアクセス可能だったとされています。
クラウド側はGitHubが対応済みのため利用者側の追加作業は不要ですが、GitHubはフォレンジック調査の状況も同社ブログで公表しています。
X-STATコンポーネントの構造的弱点と、企業がGHES/GitHub.comそれぞれで取るべき行動を整理します。
X-STATはGitHubのGit操作処理に介在する内部コンポーネントです。
Wizの解析では、特殊に細工したgit pushがX-STATへ悪意ある入力を渡し、pre-receiveバイナリを経由してバックエンドのコマンド実行に到達することが判明しました。
具体的な悪用ステップは以下のとおりです。
本番のサンドボックスから外れた非本番値を注入し、保護を回避する
フックスクリプトの探索ディレクトリを攻撃者側に向ける
細工したフック定義を読み込ませ、任意コードを実行する
チップス3つの注入を組み合わせて、ようやく実行までたどり着くんでしゅね。一発で全部通せちゃうのが恐ろしいでしゅ……。
ボスそうだ。だからこそWizは「Push Optionsという機能の境界をどう信頼するか」が再設計の論点になると指摘している。
GHESとGitHub.comでは取るべき対応が異なります。
とくにGHESは社内ネットワーク内に置かれることが多く、内部からの攻撃にもさらされる前提で考える必要があります。
必要なアクションは以下のとおりです。
CVE-2026-3854は、世界中の開発者が日常的に使うコマンド「git push」が攻撃ベクターになることを示した一件です。
クラウド版は迅速に修正された一方、自己ホスト型のGHESは88%が公開時点で未修正という現状があり、運用責任の重みを再認識すべきタイミングといえます。
GHES運用組織は3.19.3以降への更新と監査ログ点検を最優先で実施してください。
チップスボス、自社運用のGitHubこそ早く対応しないとダメでしゅね!
ボスその認識でいい。ソースコードは企業の心臓部だ。守りを固めようではないか。
DevSecOpsやコード基盤の脆弱性管理に関わりたい方は、ぜひセキュリティフリーランス案件への参画をご検討ください。
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート相談可)/Entra ID・セキュリティ改善
