概要：世界中で露呈した機密情報

Mysterium VPN研究チームによる最新の調査で、世界中で約500万件のウェブサーバーが誤った設定により、非公開であるべき.gitリポジトリのメタデータを公開していることが明らかになりました。この重大なセキュリティの脆弱性は、データ盗難や不正なサイト乗っ取りにつながる可能性があります。

通常、開発者のマシンやプライベートリポジトリに留まるべき.gitフォルダーが、ライブの公開ウェブサーバー上でアクセス可能な状態になっていることで、攻撃者はウェブサイトのソースコード履歴全体をダウンロードできてしまいます。

調査結果：驚くべき規模の露出

今回の調査では、4,964,815のIPアドレスがこの機微なデータを露呈していることが判明しました。特に懸念されるのは、これらのサーバーのうち252,733件（約5%）が、ライブデプロイメント認証情報を含む.git/configファイルを公開していた点です。

• 公開された.gitメタデータを持つIPアドレス数: 4,964,815
• デプロイメント認証情報を含む.git/configが公開された数: 252,733
• 認証情報露出率（.git/config公開の場合）: 約5.09%

主なリスクと影響

公開された.gitフォルダーは、攻撃者にとって組織のインフラへの「ロードマップ」となります。報告書によると、以下のリスクが指摘されています。

• ソースコードの盗難: 攻撃者は企業の専有ソフトウェアや知的財産を再構築可能になります。
• 認証情報の収集: 公開されたconfigファイルには、APIキー、パスワード、アクセストークンが含まれていることが多く、これらが悪用される可能性があります。
• サプライチェーン攻撃: 盗まれた認証情報を使用してリポジトリに悪意のあるコードをアップロードし、ソフトウェアの全ユーザーに影響を与える可能性があります。

グローバルな影響と原因

この問題はグローバルに広がっており、米国が脆弱なサーバーの約35%（170万件のIPアドレス）を占めています。その他、ドイツ、フランス、インド、シンガポール、オランダ、日本（164,768件）、ロシア、英国、香港などが高い露出率を示しています。

この問題は、開発者が隠しファイルである.gitディレクトリを含むプロジェクトフォルダー全体をライブサーバーにコピーし、多くのウェブサーバーがデフォルトで隠しファイルへのアクセスをブロックしないという、デプロイメント時の単純な見落としから生じています。

推奨される対策

セキュリティ専門家は、管理者に対し、これらのギャップを閉じるために直ちに行動を起こすよう強く求めています。

• アクセスブロック: Nginx、Apache、IISなどのウェブサーバーを設定し、.gitディレクトリおよび他の隠しファイルへのすべての外部リクエストを拒否する。
• クリーンなデプロイメント: 本番ビルドパイプラインで、必要なアーティファクトのみをアップロードし、バージョン管理データは完全に除外する。
• シークレットのローテーション: .git/configファイルが公開された場合、関連するすべてのAPIキーとパスワードは侵害されたものとして扱い、直ちに破棄してローテーションする。

デプロイメントパイプラインにおける基本的な「サニタイズ」実践に従うことで、組織はこの危険なバックドアを閉じることができます。

---

元記事: https://gbhackers.com/over-5-million-misconfigured-git-web-servers-found-exposing/