サンプルコードなどの既知シークレット流用、サイト侵害の原因に

脆弱な「シークレット」が設定されたウェブアプリケーションが侵害される被害が発生している。JPCERTコーディネーションセンターは、国内において標的となりうるサイトが多数稼働しているとして対応を呼びかけた。

フレームワークなどを用いて開発されたアプリケーションのなかに、デフォルトで設定されていたり、サンプルコードとして公開されているパスワードやトークン、暗号鍵、署名用の値などのいわゆる「シークレット」が、そのまま本番の運用環境で用いられているケースが確認されている。

第三者によって推測でき、環境や条件によってはサーバが侵害され、任意のコードを実行されるなど、大きな被害に発展するおそれがある。

実際に既知の「ASP.NET」のマシンキーが悪用されて侵害される被害が海外でも報告されている。

2025年10月29日の時点で、国内における同様の被害の報告などはJPCERT/CCに寄せられていないが、国内だけで影響を受ける可能性があるサイトは少なくとも1400件以上にのぼり、今後被害が発生する可能性もある。

JPCERT/CCは、脆弱なシークレットを用いてシステムが運用されていないか確認し、必要に応じて変更するなど対策を講じるよう求めた。「ASP.NET」をはじめ、「Symfony」「Laravel」「Django」「Ruby on Rails」「JSON Web Token（JWT）」など、複数環境における状況を確認できるライブラリも海外ベンダーから公開されており、活用を呼びかけている。

（Security NEXT - 2025/10/30 ） ツイート

PR

関連記事

国内で「MongoBleed」悪用被害は未確認 - 攻撃増加に要警戒
米当局、「MongoDB」脆弱性の悪用に注意喚起
「MongoDB」に脆弱性「MongoBleed」 - 「PoC」公開、早急に対応を
「LangChain」に深刻な脆弱性 - APIキー流出のおそれ
「WatchGuard Firebox」に脆弱性 - ゼロデイ攻撃が発生、更新や痕跡調査を
「Langflow」に未修正脆弱性、緩和策を - 報告者「修正が後回し」
「Apache Druid」のCookie署名に脆弱性 - アップデートをリリース
SAP、月例アドバイザリ20件を公開 - 複数「クリティカル」も
シークレット管理ツール「HashiCorp Vault」に複数の脆弱性
「HashiCorp Vault」に脆弱性 - 複雑なJSON処理でDoS状態に