コンピュータセキュリティの専門家は1000万のウェブサイトの分析を実施し、約2000のAPIクレデンシャルが1万のウェブページに散在していることを発見しました。
研究者たちは「Keys on Doormats: Exposed API Credentials on the Web」というタイトルのプレプリント論文でその知見を詳細に説明し、露出したクレデンシャルに関する多くの関心がコードリポジトリとソースコードの調査に焦点を当てているため、この調査を実施したと述べています。彼らは、本番ウェブサイトの動的分析が問題の規模を理解するために不可欠であると主張しています。
「我々が発見したのは、公開ウェブページに公開されたまま放置されている非常に機密性の高いAPIクレデンシャルです」とスタンフォード大学の博士課程候補で筆頭著者のNurullah DemirはThe Registerにメールで述べました。「これらはアプリケーションがサードパーティサービスと対話することを認可するアクセストークンとして機能し、クラウドプラットフォームや決済プロバイダーなどの重要なインフラストラクチャへの直接アクセスを許可します。」
Demirは、APIクレデンシャルはプログラム的なリソースアクセスを提供するため、露出したログイン情報よりもさらに危険であると主張しています。
研究者たちはTruffleHogというツールを使って約1000万のウェブサイトをスキャンし、多国籍企業、重要インフラ機関、政府機関を含む組織に属する1748の有効なクレデンシャルを発見しました。これらのキーはAWS、GitHub、Stripe、OpenAIなどのサービスへのアクセスを提供します。
Demirは、影響を受けた組織の1つはグローバルバンクであり、もう1つは電子デバイスのファームウェアを製造していると述べました。
「『グローバルで体系的に重要な金融機関』がそのウェブページにクラウドクレデンシャルを直接公開していました」とDemirは述べました。「これにより、データベースとキー管理システムを含む複数のコアクラウドインフラストラクチャサービスへの直接アクセスが可能になりました。」
研究者たちはまた、ドローンとリモートコントロール付きデバイスの様々なメーカーが使用するファームウェアを担当する開発者のリポジトリクレデンシャルも発見しました。攻撃者はこれらのクレデンシャルを使用してソースコードを修正し、悪質なファームウェアアップデートを様々なデバイスにプッシュすることができると、Demirは述べました。
「露出はサービスカテゴリー全体で広がっており、クラウドサービス(AWS、Cloudflareなど)と決済サービス(Stripe、Razorpayなど)が検証されたクレデンシャルの大多数を占めています」と論文は説明しています。「AWSクレデンシャルだけで、検証されたすべての露出の16%以上を占めており、4693以上のウェブサイトで発見されました。SendGridやTwilioなどのメール・通信サービスも頻繁に出現し、その露出の大部分は埋め込まれたサードパーティリソースに由来しています。」
研究者たちが発見したクレデンシャルのほとんどはJavaScriptリソース(84%)に存在し、その次がHTML(8%)とJSONファイル(7%)でした。彼らはまた、CSSファイルに埋め込まれた検証済みGitHubアクセストークンなどの異常なケースも発見しました。
JavaScriptファイルでは、クレデンシャル露出の62%がWebpackなどのビルドツールで作成されたバンドルに表示されます。
Demirは、彼と彼の共著者(UC DavisのYash Vekaria、TU Delft/StanfordのGeorgios Smaragdakis、StanfordのZakir Durumeric)が影響を受けた組織に連絡するために多大な努力をしたと述べました。研究者たちが彼らの知見の報告を開始してから約2週間で、露出したクレデンシャルの数は半分に減少しました。
「開発者からのフィードバックを受けたときに、彼らの大部分は露出について全く認識していないことを我々は確認しました」と彼は説明しました。「おそらく最も懸念されるのは、我々の歴史的分析がこれらのクレデンシャルが平均して12か月間露出されたままになっており、場合によっては数年間露出されていることを示していることです。」
Demirは、彼と彼の共著者が14の異なるサービスプロバイダーのクレデンシャルのみを検証したため、露出の数字は下限値を表していると述べました。
「我々は、ウェブ全体で露出しているクレデンシャルの実際の数が、この研究で把握したものよりもはるかに多いと確信しています」と彼は述べました。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/03/27/security_boffins_harvest_bumper_crop/
