地震についてのNHKの配信を見ていたら、揺れる映像を見て酔ってしまったのだろうか、調子が悪くなってきた。3D酔いしやすい体質だけど、ゲームだけでなく実写の映像でも酔うのは厳しい。

シャワーを浴びたらだいぶましになった。

2018年6月の大阪の地震のときは、ちょうど震源地の近くにいたのだけれど、そんなに被害を被ったという感じでもなかったと思う。大阪の友だちの家に泊まっていたら揺れて目が覚めて、コンビニからは飲料水が消えていた。阪急と京阪を乗り継いで京都まで帰ってきたのを覚えている。家はとくに荒れていなかった。

家に飲料水の備蓄はあるけど、食料がぜんぜんないことに気づいたので、明日にでも買ってこようかしら。

事例集です。

きのう、GitHubの通知を見たら、個人のリポジトリに My First PR というタイトルのPRが来ているのに気づいた。PR出すところを間違えたのかな、と思って見てみたがどうも様子がおかしい。

• prog という名前のバイナリファイルを置いている
• .github/workflows/ci.yml*1の中身をガッと書き換えている
  • on: [pull_request] でworkflowを起動している
  • 20並列でjobが走るようにmatrixを設定している
    • fail-fast: false なので、どれか1つのmatrixが失敗しても他のジョブは続行される
  • base64 encodeした文字列をdecodeしてevalしている
    • ドメインの名前解決を行ったあと ./prog を実行するコマンドにdecodeされた
• PRをめちゃくちゃな回数closeしてreopenしている
• PRを出したユーザーではなく、リポジトリのオーナーがcommitしたかのようにcommit logを偽装している

走ってるworkflowリストを見にいったらめっちゃenqueueされている!! ひとまず当該PRを出してきたユーザーをブロックして、enqueueされたworkflowを全部キャンセルした。

当該ユーザーのリポジトリ一覧を見ると、めちゃくちゃforkして同様のPRを出しまくっている*2。これはいかんなーと思ってabuse reportを書いて送信した。

他の人は認識してないのか、とちょっとTwitterを検索してみると、GitHub ActionsがDDoSに使われているという @github へのメンションがあった。

@github @natfriedman A button to cancel all running workflows would be kinda handy when GitHub Actions was used for some DDOS attacks

— Pascal Berger (@hereispascal) 2021年2月4日

これに対してGitHubの中の人が反応していた。

Well that sucks. Looking into it now. Did you report the user already?

— Martin Woodward (@martinwoodward) 2021年2月4日

どうやら状況を認識されたようで、中の人の反応から数十分ぐらい待ったら当該ユーザーのアカウントが消えた。

リプライツリーには、このリポジトリのスクリプトを使って攻撃を仕掛けているという報告もあった。片っ端からpublicなリポジトリを見つけてはforkしてPRを作りまくるというのをやっていたようだ。

GitHub Actionsについてちょっと考えてみると、任意コードをいくらでも並列に実行できる環境があちこちに転がっているということになって、攻撃者にとっては魅力的ではありそう。そういう使い方をしないでほしい。

しかし、生きてるといろいろありますね。