GitGuardian レポート: 漏洩した機密情報の 70% が 2 年間有効のまま、即時の修復が必要

**米国ボストン、2025 年 3 月 11 日 / CyberNewsWire / --**GitHub で最も多くインストールされているアプリケーションを支えるセキュリティ リーダーである GitGuardian は本日、包括的な「2025 年版シークレット拡散状況レポート」を発表し、あらゆる規模の組織を脅かす広範かつ継続的なセキュリティ危機を明らかにしました。レポートでは、漏洩したシークレットが前年比 25% 増加し、2024 年だけでパブリック GitHub で 2,380 万件の新しい認証情報が検出されていることを明らかにしています。企業のセキュリティ リーダーにとって最も懸念されるのは、2022 年に漏洩したシークレットの 70% が現在もアクティブであり、攻撃対象領域が拡大し、日を追うごとに危険性が増していることです。

「漏洩した機密情報の爆発的な増加は、サイバーセキュリティにおける最も重大でありながら過小評価されている脅威の 1 つです」と、GitGuardian の CEO である Eric Fourrier 氏は述べています。「高度なゼロデイ攻撃とは異なり、攻撃者はこれらの脆弱性を悪用するのに高度なスキルを必要としません。1 つの漏洩した認証情報だけで、重要なシステムや機密データに無制限にアクセスできます。」Eric Fourrier 氏は、2024 年の米国財務省の侵害を警告として指摘しています。「BeyondTrust から漏洩した 1 つの API キーにより、攻撃者は政府システムに侵入することができました。これは高度な攻撃ではなく、何百万ドルものセキュリティ投資を回避した、漏洩した認証情報の単純な事例でした。」

セキュリティリーダーにとって重要な調査結果

このレポートでは、早急な対応が必要ないくつかの重要な傾向が特定されています。

盲点: 一般的な秘密

GitHub の Push Protection は開発者が既知の秘密パターンを検出するのに役立ちますが、ハードコードされたパスワード、データベース認証情報、カスタム認証トークンなどの一般的な秘密が、検出された漏洩の半分以上を占めています。これらの認証情報には標準化されたパターンがないため、従来のツールで検出することはほぼ不可能です。

プライベートリポジトリ: 誤ったセキュリティ意識

分析により、驚くべき事実が明らかになりました。スキャンされたすべてのプライベート リポジトリの 35% に、少なくとも 1 つの平文の秘密が含まれていました。これは、プライベート リポジトリは安全であるという一般的な仮定を打ち砕くものです。

• AWS IAM キーは、プライベート リポジトリの 8.17% にプレーンテキストで表示され、パブリック リポジトリ (1.45%) の 5 倍以上の頻度で表示されています。
• 一般的なパスワードは、公開リポジトリ（8.94%）と比較して、プライベートリポジトリ（24.1%）で約3倍多く出現しました。
• MongoDBの認証情報は、パブリックリポジトリで最も頻繁に漏洩した秘密情報のタイプでした（18.84%）

「プライベート コード リポジトリ内の漏洩した秘密は、侵害されたものとして扱う必要があります」と Eric Fourrier 氏は強調しました。「セキュリティ チームは、秘密はどこに保存されているかに関係なく、機密データとして扱う必要があることを認識する必要があります。」

コードを超えて: SDLC 全体に広がる秘密

ハードコードされたシークレットはどこにでもありますが、特にコラボレーション プラットフォームやコンテナー環境など、セキュリティ制御が弱いセキュリティの盲点に多く見られます。

• Slack: 分析されたワークスペース内のチャンネルの 2.4% に漏洩した秘密が含まれていた
• Jira: チケットの 6.1% で資格情報が漏洩しており、最も脆弱なコラボレーション ツールとなっている
• DockerHub: 検出されたシークレットの 98% はイメージ レイヤーにのみ埋め込まれており、現在 7,000 を超える有効な AWS キーが公開されています。

非人間的アイデンティティ危機

現在、ほとんどの組織では、API キー、サービス アカウント、自動化トークンなどの非人間 ID (NHI) が人間 ID をはるかに上回っています。ただし、これらの認証情報は適切なライフサイクル管理とローテーションが行われていないことが多く、永続的な脆弱性を生み出しています。

フォーチュン 500 企業のセキュリティ リーダーは、この課題を認めて次のように語っています。「当社は、秘密情報を毎年ローテーションすることを目指していますが、環境全体で実施するのは困難です。認証情報の中には、何年も変更されていないものもあります。」

シークレットマネージャー：完全な答えではない

シークレット管理ソリューションを使用している組織でも、依然として脆弱性が残っています。シークレット マネージャーを活用している 2,584 のリポジトリを調査したところ、シークレット漏洩率は 5.1% であることが明らかになりました。これは、私たちが予測するほぼゼロからは程遠い数字です。これは、GitHub 全体の平均である 4.6% を上回っています。

一般的な問題は次のとおりです:

• シークレットマネージャーから抽出され、他の場所にハードコードされたシークレット
• シークレット マネージャーへの安全でない認証によりアクセス資格情報が漏洩する
• 複数のシークレット マネージャーにシークレットが分散しているため、ガバナンスが断片化されている

今後の道筋: 包括的な秘密セキュリティ

AI 生成コード、自動化、クラウドネイティブ開発が加速するにつれ、シークレットの拡散はますます激しくなるとレポートは予測しています。GitHub の Push Protection によって漏洩はある程度減少しましたが、特に一般的なシークレット、プライベート リポジトリ、コラボレーション ツールに関しては、大きなギャップが残ります。

「CISO やセキュリティ リーダーにとっての目標は、脆弱性の検出だけではありません。脆弱性が悪用される前に修復することです」と Eric Fourrier 氏は述べています。「これには、自動化された検出、修復、およびすべてのエンタープライズ プラットフォームにわたるより強力なシークレット ガバナンスを含む包括的なアプローチが必要です。」

このレポートは、組織が秘密情報の拡散に対処するための戦略的フレームワークを次のようにまとめています。

• すべての環境にわたって公開された資格情報の監視を展開する
• 集中型の秘密検出と修復の実装
• すべての資格情報に対して半自動ローテーションポリシーを確立する
• 安全な金庫の使用に関する明確な開発者ガイドラインの作成

2025年版シークレットスプロールレポートの全文を読むには、次のサイトをご覧ください。翻訳元。

追加リソース

GitGuardian - ウェブサイト

2025 年の秘密拡散の状況

GitGuardianについて

ギットガーディアンは、ソフトウェア主導の組織が非人間 ID (NHI) セキュリティを強化し、業界標準に準拠できるようにするエンドツーエンドの NHI セキュリティ プラットフォームです。サービス アカウントやアプリケーションなどの NHI を攻撃者が標的とするケースが増えているため、GitGuardian は Secrets Security と NHI Governance を統合しています。

この二重のアプローチにより、開発環境全体で侵害されたシークレットを検出できると同時に、人間以外の ID とそのシークレットのライフサイクルも管理できます。このプラットフォームは、世界で最も多くインストールされている GitHub アプリケーションであり、450 種類以上のシークレットをサポートし、漏洩したデータの公開監視を提供し、防御を強化するためにハニートークンを導入します。60 万人以上の開発者から信頼されている GitGuardian は、Snowflake、ING、BASF、Bouygues Telecom などの大手組織が堅牢なシークレット保護のために選択しています。

接触

メディア連絡先

ホリー・ハガーマン

コネクトマーケティング

hollyh@connectmarketing.com

+1(801) 373-7888