世界中で約500万台のWebサーバーが設定不備として特定され、機密性の高いGitの管理メタデータを露出させ、ソースコードの流出および認証情報漏えいの差し迫ったリスクを招いている。こうした憂慮すべき事実は、Mysterium VPNコレクティブが実施した2026年の包括的なインフラ監査に由来する。この脆弱性は、隠しリポジトリディレクトリが誤って公開Webルートにマッピングされ、外部の誰からでもアクセス可能になってしまうことで発生する。
Linus Torvaldsによって構想された遍在的なバージョン管理システムであるGitは、現代の開発イニシアチブの大半にとって基盤となるアーキテクチャである。各リポジトリには、改訂履歴、設定パラメータ、技術的アーティファクトの保管庫である隠し.gitディレクトリが存在する。欠陥のあるデプロイによってこのフォルダが露出すると、攻撃者はプロジェクトのアーキテクチャを再構築し、内部アプリケーションロジックを精査し、秘匿されたパラメータを収集できてしまう。
調査により、Gitメタデータが外部から到達可能な4,964,815件のユニークIPアドレスが明らかになった。最も重大なのは、252,733件において.git/configファイルにリモートリポジトリおよびクラウドサービス向けの有効な認証情報が含まれていたことで、これは露出した設定全体のおよそ5%に相当する。こうしたエントリには、自動ビルドおよびデプロイパイプラインで使用される平文のログイン情報、認証トークン、パスワードがしばしば含まれる。その結果、単なる設定ミスが、リポジトリ乗っ取りや有害なコード注入への直接的な経路へと発展する。
地理的には、脆弱なノードの最大の集中地は米国で、特定されたアドレスは170万件超にのぼる。次いでドイツ、フランス、インド、シンガポール、オランダ、日本、ロシア、英国、香港が続く。この分布は、サイト所有者の国籍というより、世界のホスティングおよびクラウドインフラの密度を主に反映している。
露出した.gitディレクトリは、攻撃者がHEAD、index、configといった重要ファイルを照会できることを意味する。公開されているユーティリティを用いれば、埋め込まれたAPIキー、管理用エンドポイント、保護されていないモジュールを発見するために、プロジェクトのローカル複製を精密に再構築できる。二次的な危険として認証情報の再利用がある。書き込み権限が有効であれば、脅威アクターはコードベースを改ざんし、ソフトウェアリリースを操作し、サプライチェーン侵害を画策できてしまう。
報告書の著者らは、この繰り返し発生する脆弱性が、システム的なデプロイ失敗に起因すると強調している。開発者は隠しフォルダを含むプロジェクトディレクトリ全体を本番環境へアップロードしてしまうことが多い。さらに、パッケージングツールが不要なアーティファクトを同梱することがあり、Webサーバーはドットフォルダへのアクセスを制限するようにネイティブ設定されていない場合がある。決定的なのは、セキュリティポリシーが主要ドメインのみを保護し、直接IPアクセスや別名ホスト名が脆弱なまま放置されることがある点だ。
これらのリスクを軽減するには、サーバーレベルで.gitパスへのアクセスを禁止し、本番環境内にアクティブなリポジトリを配置しないことが不可欠である。組織は、コンパイル済みビルドのみを公開する運用へ移行すべきだ。露出した設定内で発見されたキーやトークンは、速やかに失効させて再生成しなければならない。さらに、自動化されたシークレット検出と集中型の認証情報管理を実装することは、この種の露出に対する重要な防壁となる。
この監査は、漏えいの割合がわずかであっても、インターネットの巨大な規模によって増幅され、数十万件の侵害されたアクセスポイントにつながることを示している。Mysterium VPNチームは、メタデータ発見の自動化により、こうした攻撃が迅速かつ低コストになり、単純なデプロイミスが壊滅的なセキュリティインシデントへと変貌していると結論づけている。
