Skip to main content

許可されていないアクセスを防止する

Heartbleed Bug の検出など、セキュリティ インシデントについては、メディアで警告を見たことがあるかもしれません。そうでなければ、GitHub にサインインしている間にコンピュータから情報を盗まれている可能性があります。 そのような場合でも、パスワードを変更すれば、アカウントやプロジェクトにこれ以上不正にアクセスされるのを防ぐことができます。

GitHub では、新しい SSH キーを追加する、アプリケーションを認証する、Team メンバーを変更するといった重要なアクションを実行するとき、パスワードが要求されます。

アカウントのセキュリティを保つために、パスワードを変更してから次のアクションを実行するようにしてください:

  • ご自分のアカウントで 2 要素認証を有効にして、アクセスにパスワード以外のものも必要になるようにします。 詳しくは、「2 要素認証について」をご覧ください。

  • アカウントにパスキーを追加することで、セキュリティで保護されたパスワードレス ログインが可能になります。 パスキーはフィッシングに強く、暗記や能動的な管理は必要ありません。 「パスキーの概要」を参照してください。

  • SSH キー、デプロイ キー、許可された統合をレビューして、SSH とアプリケーションの設定で許可されていないまたは見慣れないアクセスを取り消します。 詳細については、「SSH キーをレビューする」、「デプロイ キーをレビューする」、「GitHub Apps の承認の確認と取り消し」を参照してください。

  • すべてのメール アドレスを確認します。 攻撃者があなたのアカウントにメールアドレスを追加していた場合、予想外のパスワードリセットの実行を許してしまう可能性があります。 詳しくは、「メールアドレスを検証する」をご覧ください。

  • アカウントのセキュリティ ログをレビューします。 これで、リポジトリに対する各種の設定について概要がわかります。 たとえば、プライベートリポジトリがパブリックに変更されていないか、リポジトリが移譲されていないかを確認できます。 詳しくは、「セキュリティ ログをレビューする」をご覧ください。

  • リポジトリの Webhook をレビューします。 webhook では、攻撃者がリポジトリへのプッシュを傍受する可能性があります。 詳しくは、「webhook について」をご覧ください。

  • 新しいデプロイ キーが作成されていないことを確認します。 デプロイキーがあると、外部サーバーがあなたのプロジェクトにアクセスできる恐れがあります。 詳しくは、「デプロイキーの管理」をご覧ください。

  • リポジトリに対する最近のコミットをレビューします。

  • リポジトリごとにコラボレーターのリストをレビューします。