サンプルコードなどの既知シークレット流用、サイト侵害の原因に

脆弱な「シークレット」が設定されたウェブアプリケーションが侵害される被害が発生している。JPCERTコーディネーションセンターは、国内において標的となりうるサイトが多数稼働しているとして対応を呼びかけた。

フレームワークなどを用いて開発されたアプリケーションのなかに、デフォルトで設定されていたり、サンプルコードとして公開されているパスワードやトークン、暗号鍵、署名用の値などのいわゆる「シークレット」が、そのまま本番の運用環境で用いられているケースが確認されている。

第三者によって推測でき、環境や条件によってはサーバが侵害され、任意のコードを実行されるなど、大きな被害に発展するおそれがある。

実際に既知の「ASP.NET」のマシンキーが悪用されて侵害される被害が海外でも報告されている。

2025年10月29日の時点で、国内における同様の被害の報告などはJPCERT/CCに寄せられていないが、国内だけで影響を受ける可能性があるサイトは少なくとも1400件以上にのぼり、今後被害が発生する可能性もある。

JPCERT/CCは、脆弱なシークレットを用いてシステムが運用されていないか確認し、必要に応じて変更するなど対策を講じるよう求めた。「ASP.NET」をはじめ、「Symfony」「Laravel」「Django」「Ruby on Rails」「JSON Web Token（JWT）」など、複数環境における状況を確認できるライブラリも海外ベンダーから公開されており、活用を呼びかけている。

（Security NEXT - 2025/10/30 ） ツイート

PR

関連記事

シークレット管理ツール「HashiCorp Vault」に複数の脆弱性
「HashiCorp Vault」に脆弱性 - 複雑なJSON処理でDoS状態に
「Kubernetes」マルチテナント管理ツール「Capsule」に深刻な脆弱性
秘密管理ツール「OpenBao」に脆弱性 - 任意のコード実行が可能に
Palo Alto、セキュリティアドバイザリ6件を公開
「Amazon EMR」に深刻な脆弱性 - 資格情報漏洩のおそれ
「HashiCorp Vault」のLDAP認証で多要素認証バイパスのおそれ
「HashiCorp Vault」に複数の脆弱性 - 「クリティカル」も
Bitnamiの一部「Helm Chart」に脆弱性 - 機密情報漏洩のおそれ
Kubernetes「ingress-nginx」に脆弱性 - シークレット漏洩のおそれ