Mysterium VPNの研究チームによる衝撃的な2026年の調査で、重大なセキュリティ欠陥が明らかになりました。世界中で約500万台のWebサーバーが、機密性の高いGitリポジトリのデータを漏えいさせています。
これらの設定ミスにより、Webサイトはデータ窃取、認証情報の奪取、さらにはハッカーによる完全な乗っ取りにまで脆弱になります。
人気のバージョン管理ツールであるGitは、プロジェクトの履歴を隠しフォルダの.gitに保存します。開発者はローカルマシンやプライベートリポジトリでこれを使いますが、デプロイ時に誤って公開Webサーバー上に置かれてしまうことがあります。
調査ではインターネットをスキャンし、4,964,815件の.gitメタデータを公開しているIPアドレスを発見しました。攻撃者はWebブラウザだけで、ソースコードの履歴全体をダウンロードできるほどです。
最悪なのは、252,733台(約5%)のサーバーが、APIキー、パスワード、トークンといった有効な認証情報が詰まった.git/configファイルを漏えいしていることです。これによりハッカーは企業インフラへの「ロードマップ」を手にします。
件数の35%を米国が占め、次いでドイツ、フランス、インド、シンガポールが続きます。これは所有者の所在地ではなく、クラウドホスティングの拠点分布を反映しています。
問題の原因はずさんなデプロイにあります。開発者が.gitを含むプロジェクトフォルダ一式を本番サーバーにコピーしてしまうのです。多くのWebサーバー(Nginx、Apache、IIS)はデフォルトでドットファイルをブロックしないため、公開状態になってしまいます。
パイプラインでの簡単な「サニタイズ」により、このバックドアは塞げます。これを放置する企業は壊滅的な漏えいリスクを負います。コードを守るため、迅速に対策してください。