PSI CyberSecurity Insight

トップ> Insight Post一覧> PSI CyberSecurity Insight第36号:GitHubなど公開リポジトリからのAPIキー流出、開発現場から始まるサイバーリスク

2026年1月14日

株式会社ピーエスアイ

GitHubなど公開リポジトリからのAPIキー流出、開発現場から始まるサイバーリスク

背景

クラウドネイティブ開発やDevOpsの普及により、GitHubをはじめとするソースコード共有プラットフォームの利用が急増しています。その一方で、APIキーや秘密鍵、パスワードなど、本来外部に公開してはならない認証情報が、誤って公開リポジトリに含まれたままコミットされてしまう事故が後を絶ちません。攻撃者はこれらのプラットフォームを常時スキャンしており、流出した認証情報を利用してクラウド環境やSaaS、決済サービス、SNSアカウントなどへ不正アクセスする事例が世界中で報告されています。開発のスピードが優先される現場ほど、セキュリティレビューが形骸化しやすく、「うっかりコミット」が重大インシデントに直結するリスクが高まっています。特に、リモートワークの普及により、開発者が個人環境で作業する機会が増え、設定ファイルや環境変数の管理が複雑化していることも、誤流出のリスクを高めています。

実態

攻撃者は、GitHubの公開APIやサードパーティツールを利用し、「AWS_ACCESS_KEY」「password=」「PRIVATE KEY」「BEGIN RSA PRIVATE KEY」「api_key」「secret」などのキーワードや正規表現パターンで公開リポジトリを機械的に検索しています。検索対象は個人アカウントだけでなく、企業・組織アカウントも含まれ、コミット履歴や過去のブランチ、さらにはPull Requestのコメント欄まで遡って調査されます。一度コミットされた秘密情報は、たとえ削除してもGitの履歴に残るため、完全に消すにはgit filter-branchやBFGなど専門的な履歴書き換え操作が必要です。流出した認証情報は、クラウド管理コンソールへのログイン、ストレージバケットへのアクセス、メール送信APIの悪用(スパム・フィッシング配信)、決済APIの不正課金、データベースへの直接アクセスなどに利用されます。実際に、公開されたAWSアクセスキーが数時間以内に悪用され、暗号資産マイニング用のEC2インスタンスを大量起動させられ、数百万円規模の請求が発生した事例も報告されています。また、FortiGateやCheck Pointなどのネットワーク機器の管理用APIキーが流出した場合、リモートから設定を書き換えられ、トラフィックの盗聴や防御機能の停止といった深刻な被害につながるおそれもあります。

影響と対策

公開リポジトリからの認証情報流出は、クラウド環境全体の乗っ取り、SaaSアカウントの大量侵害、スパム送信の踏み台化、予期せぬ高額課金、機密データの漏えいなど、ビジネス継続に重大な影響を及ぼします。対策としては、まず「認証情報をソースコード内に埋め込まない」ことが鉄則です。環境変数、専用のシークレットマネージャ(AWS Secrets Manager、Azure Key Vault、HashiCorp Vaultなど)、CI/CDツールの暗号化機能を利用し、ソースコードとは完全に分離して管理します。開発段階では、gitleaks、truffleHog、detect-secretsなどのシークレットスキャンツールをpre-commitフックやCI/CDパイプラインに組み込み、誤コミットを未然に防ぐことが有効です。また、万が一流出した場合に備え、APIキーや証明書を迅速にローテーションできる体制(クリプト・アジリティ)の確立が重要です。ネットワーク側では、FortiGateやCheck PointのCASB(Cloud Access Security Broker)機能やWebフィルタリング機能により、異常なクラウドAPI利用パターンや海外からの不審アクセスを検知・遮断することで、流出後の被害拡大を抑止できます。さらに、開発者向けのセキュアコーディング教育、コードレビューにおける「秘密情報チェック」の明文化、定期的な権限棚卸しも欠かせません。

まとめ

開発のスピードと利便性を支えるGitHubなどのプラットフォームは、同時に新たな攻撃面でもあります。「少しくらいなら大丈夫」「テスト用だから問題ない」という気の緩みが、クラウド全体の乗っ取りにつながる時代です。技術的な防止策と組織的な教育、そして万が一の流出を想定した監視体制の三位一体が不可欠です。PSIでは、ネットワーク製品によるクラウドアクセスの可視化と異常検知、セキュア開発プロセスの整備支援を通じて、開発現場から始まるサイバーリスクの低減をご支援いたします。

参照記事リンク:

IPA セキュア開発における脆弱性対策,  GitHub Docs - Secret scanning,  JPCERT/CC 注意喚起

会社概要

社名:株式会社ピーエスアイ(PSI)
所在地:〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立:1994年
TEL:03-3357-9980
FAX:03-5360-4488
URL:https://www.psi.co.jp
事業内容:サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当:内藤
電話番号:(03)3357-9980
Eメールアドレス:psi-press@psi.co.jp

INSIGHT一覧に戻る