Git Web Server のミスコンフィグ:500 万を超える Web サイトが機密情報を露出

Over 5 Million Misconfigured Git Web Servers Found Exposing Secrets Online

2026/02/09 gbhackers — Web サーバにおける大規模かつ広範なミスコンフィグにより、数百万の Web サイトがデータ窃取や不正乗っ取りの危険にさらされている。Mysterium VPN の調査チームが実施した 2026 年の最新調査で判明したのは、世界中の約 500 万台の Web サーバ が “.git” リポジトリのメタデータを公開していることだ。

漏洩の規模

この調査は、インターネット全体をスキャンし、Git のバージョン管理システムがコード変更を追跡するために使用する、隠しディレクトリ “.git” フォルダへのアクセスの可否を判定するものだ。

これらのフォルダは、本来は開発者の端末や非公開リポジトリ内に留まるべきものであり、公開中の本番 Web サーバ 上には存在すべきでない。

しかし、調査の結果として、4,964,815 件の IP アドレスが、この機密データを公開していることが判明した。

Screenshot example with the .git directory exposed - Source: MysteriumVPN
Screenshot example with the .git directory exposed – Source: MysteriumVPN

特に深刻な点は、そのうちの 252,733 台のサーバ (全体の約 5%) が、”.git/config” という特定のファイルを公開しており、その中に本番環境へのデプロイ用の認証情報が含まれていたことである。

“.git” フォルダが公開された状態にあると、第三者が Web ブラウザを介して、Web サイトのソースコード履歴全体をダウンロードできてしまう。

このような露出は、組織のインフラ全体を把握するための設計図を、攻撃者に対して与えるものである。報告書によると、想定されるリスクは以下の通りである。

  • ソースコードの窃取:攻撃者が独自ソフトウェアや知的財産を再構築できる。
  • 認証情報の収集:25 万件以上の “.git/config” ファイルには、API キー/パスワード/アクセス・トークンなどが含まれることが多い。
  • サプライチェーン攻撃:盗み出した認証情報を悪用する攻撃者が、リポジトリに悪意のコードを投入し、そのソフトウェアの利用者全体に対して感染を拡大させる可能性がある。
グローバルな影響

この問題は、世界的に広がっているものだが、最も多くの脆弱なサーバを抱えているのは米国であり、全体の約 35% (1,722,949 IP) を占めている。

Screenshot example with the .git/config file exposed - Source: MysteriumVPN
Screenshot example with the .git/config file exposed – Source: MysteriumVPN

それに続くのが、ドイツ/フランス/インド/シンガポールなどとなる。

Data pointValue
IPs with publicly accessible .git metadata4,964,815
Exposed .git/config with deployment credentials252,733
Credential exposure rate (within exposed .git/config)~5.09%
Top country by exposed IPsUnited States (1,722,949; ~34.70%)
Other highly exposed locations (IPs)Germany 419,102; France 237,593; India 218,661; Singapore 189,900; Netherlands 165,174; Japan 164,768; Russia 147,859; UK 140,341; Hong Kong 127,223

この分布が反映するのは、Web サイト運営者の所在地というよりも、大規模 クラウド・ホスティング・インフラ の設置地域である。

多くのケースにおいて、この露出はデプロイ時の単純な見落としにより発生している。具体的には、開発者がプロジェクト・フォルダ全体を、”.git” ディレクトリごと本番サーバにコピーしてしまうケースである。

多くの Web サーバのデフォルト・コンフィグでは、ドット “.” で始まる隠しファイルやディレクトリへのアクセスを拒否しないため、そのまま公開状態になってしまう。

セキュリティ専門家たちは管理者に対して、以下の対策を直ちに取るよう呼びかけている。

  1. アクセス遮断:Nginx/Apache/IIS などの Web サーバ・コンフィグ (設定) において、”.git” ディレクトリなどの隠しファイルに対する、外部からのアクセスを明示的に拒否する。
  2. クリーンなデプロイ:本番ビルド・パイプラインでは、必要な成果物のみをアップロードし、バージョン管理データを完全に除外する。
  3. シークレットのローテーション:”.git/config” が露出していた場合には、すべての関連する API キーやパスワードを漏洩したものとして扱い、直ちに失効および再発行を行う。

デプロイ・パイプラインにおける基本的なサニタイズ運用を徹底することで、この危険なバックドアを閉じることができる。

Web サーバのミスコンフィグにより、ソースコードや認証情報が漏洩するリスクについて解説する記事です。この問題の原因は、開発時に使用する “.git” という隠しフォルダを、本番環境のサーバへコピーしてしまうデプロイ手順の不備にあります。Git では、プログラムの変更履歴を管理するためのフォルダが作成されますが、その中にはソースコードの全履歴だけではなく、API キーやパスワードが記された “config” ファイルも含まれています。多くの Web サーバのデフォルト・コンフィグでは、これらの隠しフォルダへの外部アクセスが制限されていないため、攻撃者はブラウザを介して、これらの機密データをダウンロードできてしまう状態になっています。ご利用のチームは、ご注意ください。よろしければ、Git Server での検索結果も、ご参照ください。