暴露された API キーの問題:35% が有効な状態を保持していた – Nightfall 調査

35% of exposed API keys still active, posing major security risks

2024/08/13 HelpNetSecurity — パスワードや API キーなどの機密情報の流出先だが、最も多かったサイトは GitHub のようだ。また、そのペースとしては、従業員 100人あたり毎年 350件近くの暴露にいたっているという。このような実態が、Nightfall AI の調査結果である 2024 State of Secrets Report により明らかにされた。


Cloud/SaaS に拡散する機密情報の隠れたリスク

さらに問題なのは、発見された API キーの 35%がまだ有効であり、権限昇格攻撃/データ漏洩/データ侵害などの大きなリスクが生じていることだ。発見されたシークレットの多くは、数ヶ月前から、すでに暴露されていたものだという。

最新の Cloud/SaaS/GenAI 環境を導入している企業が、隠れたリスクとして明らかにし始めたのは、本来あるべき場所ではないアプリ/ファイル/メッセージなどに、API キーやパスワードなどの機密情報が流出することで、機密情報の拡散にいたるという問題である。

Slack/GitHub/Jira/Google Drive などのアプリの中から、簡単に企業機密を見つけ出す脅威アクターたちが、それらを悪用することになる。The New York Times や Sisense などの大手ブランドで発生した、数多くの有名なインシデントで見られたように、壊滅的なレベルにまで組織を危険にさらすことになる。この課題を浮き彫りにした、Nightfall の調査が目標としているのは、自社の秘密が散らばっている場所を、それぞれの企業が理解し、テクノロジー・スタックを簡明にする方法の実践である。

調査の中で Nightfall は、これまでの1年間でクラウドやアプリで共有された、機密情報を探しすために数百 TB ものデータをスキャンし、SaaS/GenAI/電子メール/エンドポイントに拡散していった、171,000件以上の機密情報の暴露を発見した。そこで確認された具体的なシークレットは、 パスワード/API キー/データベース接続文字列/暗号キーなどである。

最も多く機密情報が公開されていたのは、GitHub における開発/生産性ツールの 54% (339件) だった。それに続くのが、Confluence (134件)/Zendesk (110件)/Slack (64件)/Google Drive (34件) などであり、いずれも、従業員 100人あたりの件数となる。多数の異なる SaaS プラットフォームで機密データを可視化することは、企業にとって重要な課題であるため、このデータは注目に値する。

最もよく暴露された機密情報はパスワード

検出された秘密の半分以上 を占めるのがパスワード (59%) であり、それに僅差で続くのが API キー (39%) である。この数値から導き出されるのは、従業員 100人あたり、1週間で約8件のパスワードと7件の API キーという流出数であり、それぞれの規模の組織に対してスケーラブルな指標が与えられる。つまり、エンタープライズ・レベルでは、1年間で数千のシークレットが、各所に散在することになる。

パスワードと APIキーが拡散される場所には若干のばらつきがあるが、それらのシークレットが最も見つかりやすい場所は GitHub であり、従業員 100人あたり1年間で 339件の秘密が共有されたことになる。同様に、Confluence と Zendesk においても、 100人あたり1年間で100件以上のシークレットが共有されている。

Nightfall の CTO である Rohan Sathe は、「機密情報の拡散は、企業にとって直ちに対処すべき緊急の問題である。しかし幸いなことに、それを防ぐのは簡単だ。セキュリティ・チームにとって重要なのは、どのような秘密が、どこで共有されているのかを把握した上で、秘密の暴露を最小限に抑えるための対策を講じることだ」と述べている。

最もよく暴露された機密情報はパスワード

継続的なモニタリングと自動化された修復により、機密情報の拡散に関連するリスクの特定と軽減にかかる時間は劇的に短縮される。さらに Nightfall が推奨するのは、データ漏洩や侵害を食い止めるために、End-to-End の暗号化を導入し、パスワード・マネージャーを使用し、API キーを定期的にローテーションすることだ。また、従業員に対して、最も安全な秘密の共有方法について教育し、年間を通じて反復することの重要性も、研究者たちは強調している。

こうしたレポートを訳していると、なんとなく数字の辻褄が合わないという事態に陥ることがあります。この記事にも、Nightfall AI の調査レポートと一致しない部分があり、その点を修正しています。この Nightfall レポートは、文章がほとんどない、インフォグラフ形式のものなので、とても観やすいものとなっています。しかも、文中にあるように、読み手の組織の規模に合わせた、スケーラブルな活用が可能になっています。ぜい、ご利用ください。それにしても、やはりというか、なんとなくというか、機密情報というものは、漏れていってしまうのですね。ただし、漏れないが前提ではなく、漏れるが前提になると、情報流出に対するアプローチも変化していくはずです。ここは、頑張るしかないところです。よろしければ、カテゴリ Statistics も、ご参照ください。