ClickUp データ漏洩、企業メールが1年以上露出

ClickUpの公開ウェブサイトに組み込まれたハードコードされたAPIキーが、1年以上にわたって数百の企業および政府メールアドレスを静かに露出させていました。

この欠陥は2025年初期に最初に報告されましたが、2026年4月現在でも活動したままで、誰でも認証なしで簡単なリクエストで機密データにアクセスできるようになっていました。

「http://clickup[.]comにアクセスしてページソースを開き、javascriptにハードコードされたAPIキーを見つけました。1つのGETリクエストを送ったところ、959個のメールアドレスと3,165個の内部フィーチャーフラグが返されました」と、セキュリティ研究者のImpulsiveはこの問題についてのX投稿で述べています。 

ClickUp データ漏洩の説明 

この漏洩はClickUpのウェブアプリケーションに由来します。認証前にロードされた公開アクセス可能なJavaScriptファイルにハードコードされたサードパーティAPIキーが含まれていました。 

クライアント側のコードは本質的に見えるため、キーは簡単に抽出でき、認証されていないGETリクエストでバックエンドエンドポイントを照会するために使用できました。

このアクセス制御の欠如により、959個のメールアドレスと3,165個の内部フィーチャーフラグを含むデータセットが露出し、複数の地域の大規模な組織と政府機関の従業員に影響を与えました。

個人識別情報（PII）を明かすだけでなく、フィーチャーフラグはベータフィーチャー、A/Bテスト、製品ロードマップシグナルなどの内部開発プロセスへの洞察を提供します。 

この情報は、標的型攻撃、競争インテリジェンス、またはプラットフォーム悪用に利用される可能性があります。 

2025年1月に報告され、公開当時もまだ未解決であったこの脆弱性は、標的型フィッシング、認証情報詰め込み攻撃、その他のソーシャルエンジニアリング攻撃のリスクを高めています。

SaaS セキュリティリスクの軽減 

ClickUp インシデントに照らして、組織はSaaS セキュリティ、特に認証情報とAPI露出に関して、より積極的なアプローチを取るべきです。 

ハードコードされたキー、限定されたアクセス制御、サードパーティ統合への可視性の欠如は、不要なリスクを生み出し、露出ウィンドウを延長する可能性があります。 

• すべてのSaaS プラットフォーム全体にわたって、フィッシング耐性のあるMFA、条件付きアクセスポリシー、デバイス信頼要件を含む、強力な認証とアクセス制御を実施します。
• アクセスログを監査し、脅威インテリジェンスフィードでドメイン露出を追跡し、異常なログインまたはAPI活動を検出することで、漏えいの兆候を監視します。
• DMARC、DKIM、SPFおよびメールセキュリティツールでメールとフィッシング防御を強化し、標的型ソーシャルエンジニアリング攻撃のリスクを軽減します。
• 最小権限を適用し、サードパーティツールの機密ワークフローを制限し、公開アクセス可能なユーザーまたはディレクトリデータを最小化することで、露出とアクセスを制限します。
• 定期的にサードパーティリスク評価を実施し、SaaS セキュリティ体制レビューを実施して、設定ミス、過度な権限、および遅延した修復を特定します。
• シークレットを定期的にローテーションし、トークンのスコープを適切に設定し、クライアント側のコードにハードコードされた認証情報を避けることで、強力な認証情報とAPI キーのハイジーンを実装します。
• インシデント対応計画をテストし、ハードコードされたキーと標的型フィッシング攻撃のシナリオを使用してシミュレーション攻撃ツールを使用します。

これらの対策は、認証情報の悪用、設定ミス、およびSaaS関連のセキュリティリスクへの全体的な露出を減らしながら、組織の回復力を強化するのに役立ちます。   

防止可能なセキュリティリスク 

このインシデントは防止可能な問題（クライアント側のコードにハードコードされた認証情報）を強調し、大規模な組織でさえ基本的なセキュリティ制御を見落とす可能性があることを強化しています。 

また、単一の設定ミスが限定されたアクセス制限と遅延した修復と組み合わさった場合、どのように長期間の露出につながるかも示しています。 

多くの組織がコア操作をサポートするためにサードパーティのSaaS プラットフォームに大きく依存しているため、その影響はClickUp を超えて広がっています。 

これらの課題は、ユーザー、デバイス、または環境に関係なく、アクセスが継続的に検証され、厳密に制御されるゼロトラストアプローチの必要性を強化しています。