TokyoBlackHatNews

gbhackers.com 4分で読了

オンライン上で機密情報を露出させる、設定不備のGit Webサーバーが500万台超見つかる

Webサーバーの設定における大規模かつ広範な脆弱性により、数百万のWebサイトがデータ窃取や不正な乗っ取りに対して無防備な状態となっています。

Mysterium VPNのリサーチチームが実施した2026年の新たな調査によると、世界中で約500万台のWebサーバーが、.gitリポジトリのメタデータを公開状態のまま露出させていることが明らかになりました。

漏えい規模

この調査では、Gitのバージョン管理システムがコード変更を追跡するために用いる、隠しディレクトリであるアクセス可能な.gitフォルダをインターネット上でスキャンしました。

これらのフォルダは、開発者の端末やプライベートリポジトリに留めておくべきものであり、公開中の本番Webサーバー上に置かれるべきではありません。

調査では、この機微なデータを露出させているIPアドレスが4,964,815件見つかりました。

Image
.gitディレクトリが露出しているスクリーンショット例 – 出典: MysteriumVPN

特に懸念されるのは、これらのサーバーのうち252,733台(約5%)が、.git/configという特定のファイルを露出させており、そこに本番デプロイ用の認証情報が含まれていた点です。

.gitフォルダが開放されたままだと、Webブラウザさえあれば誰でも、Webサイトのソースコード履歴全体をダウンロードできてしまいます。

さらに詳しく

マルウェア対策ソリューション

脆弱性スキャンサービス

コンピュータセキュリティ

クラウドセキュリティプラットフォーム

コンピュータセキュリティ

安全なDNSフィルタリングソリューション

EDR(エンドポイント検知・対応)ツール

情報セキュリティ

サイバー犯罪防止ソフトウェア

オンライン安全講座

この露出により、攻撃者は組織のインフラに関する「ロードマップ」を得ることになります。

報告書によれば、リスクには次のものが含まれます。

  • ソースコードの窃取: ハッカーは独自ソフトウェアや知的財産を復元できます。
  • 認証情報の収集: 露出した25万件超の設定ファイルには、APIキー、パスワード、アクセストークンが含まれていることが少なくありません。
  • サプライチェーン攻撃: 攻撃者は盗んだ認証情報を使ってリポジトリに悪意あるコードをアップロードし、ソフトウェアの全利用者に感染が広がる可能性があります。

世界的な影響

この問題は世界規模ですが、脆弱なサーバーの大半は米国にあり、検出結果の約35%(170万IP)を占めています。

Image
.git/configファイルが露出しているスクリーンショット例 – 出典: MysteriumVPN

その他、影響が大きい国としてはドイツ、フランス、インド、シンガポールなどが挙げられます。

データ項目
公開アクセス可能な.gitメタデータを持つIP 4,964,815
デプロイ用認証情報を含む露出した.git/config 252,733
認証情報の露出率(露出した.git/config内) ~5.09%
露出IPが最多の国 米国(1,722,949; 約34.70%)
その他、露出が多い地域(IP) ドイツ 419,102; フランス 237,593; インド 218,661; シンガポール 189,900; オランダ 165,174; 日本 164,768; ロシア 147,859; 英国 140,341; 香港 127,223

この分布は、Webサイト運営者の所在地というより、主要なクラウドホスティング基盤がどこにあるかを主に反映しています。

この露出は通常、デプロイ時の単純な見落としから発生します。開発者が、隠し.gitディレクトリを含むプロジェクトフォルダ全体を本番サーバーへコピーしてしまうことがよくあります。

さらに詳しく

不正検知ソフトウェア

セキュアメールゲートウェイソリューション

安全なパスワードマネージャー

安全なデータ管理

サイバーセキュリティ

クラウドセキュリティプラットフォーム

インシデント対応計画

ネットワークセキュリティソリューション

サイバーセキュリティウェビナー

デジタル・フォレンジックサービス

多くのWebサーバーは、デフォルトで隠しファイル(ドットで始まるもの)へのアクセスを遮断しないため、このディレクトリが公開アクセス可能になってしまいます。

セキュリティ専門家は、管理者に対し、これらのギャップを塞ぐため直ちに行動するよう強く促しています。

  1. アクセス遮断: Webサーバー(Nginx、Apache、IIS)を設定し、.gitディレクトリおよびその他の隠しファイルへの外部からのリクエストをすべて拒否してください。
  2. クリーンなデプロイ: 本番ビルドのパイプラインでは、必要な成果物のみをアップロードし、バージョン管理データは完全に除外するようにしてください。
  3. シークレットのローテーション: .git/configファイルが露出していた場合、関連するAPIキーやパスワードはすべて漏えいしたものとして扱ってください。直ちに無効化し、ローテーション(再発行)してください。

デプロイパイプラインで基本的な「サニタイズ」手順を徹底することで、組織はこの危険なバックドアを塞ぐことができます。

翻訳元: https://gbhackers.com/over-5-million-misconfigured-git-web-servers-found-exposing/

ソース: gbhackers.com
#.gitディレクトリ露出 #APIキー流出 #Git #Webサーバーセキュリティ #クラウドホスティング #サプライチェーン攻撃 #ソースコード漏えい #脆弱性調査 #設定ミス #認証情報漏えい

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚