JSONFormatter と CodeBeautify の調査：大規模な機密情報の漏洩の実態が明らかに

Thousands of sensitive secrets published on JSONFormatter and CodeBeautify

2025/11/28 SecurityAffairs — JSONFormatter や CodeBeautify といった開発者向けフォーマット・プラットフォームにおいて、パスワード／シークレット／キーの大規模な漏洩が発生していることが、WatchTowr の最新調査により明らかになった。時として重要なシステムにも見られるインシデントが、過去に起こったものであっても、そこで漏洩した認証情報はインターネット空間を漂い続ける。WatchTowr の研究者たちが浮き彫りにするのは、セキュリティ上の怠慢が根強く残っていることであり、また、機密データが容易に公開されている状況である。

WatchTowr が発表したレポートには、「JSONFormatter と CodeBeautify に対する反復処理を行うことで、８万件以上の保存済み JSON データセットを取得した。その後も、それらのデータセットを社内ツールで解析し、シークレット／認証情報／キーおよび、Password などの “P” で始まる用語のデータを特定した」と記されている。

この公開コード・フォーマット・サイトで研究者たちが発見したものは、AD 認証情報／クラウド・キー／秘密鍵／API トークン／完全な API データ／SSH 記録などの他に、AWS Secrets Manager の完全なエクスポートを含む、数千件の漏洩したシークレットとなる。

この漏洩が浮き彫りにするのは、信頼される重要な組織が容易に機密データを漏洩させている状況であり、また、その影響が政府／金融／医療／通信／CNI といった重要セクターに及んでいることである。

さらに、JSONFormatter と CodeBeautify の “Save” と “Recent Links” を調査した結果として判明したのは、予測可能で閲覧可能な URL を通じて貼り付けたコンテンツが、ユーザーの意図とは別に公開されていたことだ。

これらの正規のページと ID をスクレイピングすることで、研究者たちが復元したのは、８万件以上のアップロード／数年分の履歴データ／5GB を超えるコンテンツである。

この調査により確認されたのは、ユーザーがこれらのプラットフォームに機密情報を保存していたことである。その際に、データが公開アクセス可能になったことに気付かず、結果として機密情報を広範囲に漏洩していた。

このコード・フォーマット・プラットフォームからの大規模なデータ漏洩について、WatchTowr は数ヶ月にわたりユーザー企業や CERT に警告を発していたが、対応した組織はほとんどなかった。

復元されたデータには、主要セクターの機密情報が含まれていた。例として挙げられるものには、学生による不適切なエクスポート処理により公開されてしまった、MITRE に関連する暗号化された Jenkins の機密情報や、政府の PowerShell セットアップ・スクリプトにより漏洩した内部コンフィグなどがある。

また、あるデータ・レイク技術ベンダーが、Docker／JFrog／Grafana／データベースの認証情報を漏洩したという事例もあった。この調査結果が示すのは、ユーザーが知らず知らずのうちに機密データを公開フォーマッター・サイトに保存することで、広範囲におよぶ高リスクの漏洩が発生していることだ。

その他にも、銀行の本番環境における KYC (Know Your Customer) データ／大手コンサルティング会社の GitHub トークン／そして米国の銀行にも関連する MSSP の Active Directory 認証情報などが発見された。

一連のテストの結果として確認されたのは、これらのプラットフォームから、すでに攻撃者が機密情報をスクレイピングしていることだった。この調査が浮き彫りにするのは、機密性の高い認証情報をオンライン上に貼り付けることの危険性であり、プロアクティブな脅威インテリジェンスと情報漏洩管理の重要性である。

WatchTowr は、「すでに、悪意のツイートやメールを書き始めている人々がいると思うが、今日の調査結果の公開により、調査対象のプラットフォームにおける機密情報の漏洩に伴うリスクが増大することはない。なぜなら、すでに誰かが、それを悪用しているからである。それは、本当に愚かな行為である。重要とされる組織は、AI 駆動型のエージェント・プラットフォームを必要とする以上に、ランダムな Web サイトに認証情報を貼り付けることを減らすべきである」と結論付けている。

JSONFormatter や CodeBeautify などの便利なツールに、開発者がパスワードやキーまでも貼り付けてしまうことが、この種の漏洩の大きな原因となっています。ツール側の URL が予測しやすく公開状態だったこと、そして、利用者が一時的なテストだから大丈夫と思ってしまうことが重なり、重要な組織の認証情報までが長期間にわたりネット上に残ってしまったと、この記事は指摘しています。よろしければ、カテゴリー DataLeak を、ご参照ください。