1000万件の機密情報がGitHubで公開されていた GitGuardianの調査：10億2700万件のコミットを分析

GitGuardianは、GitHubのコミット（10億2700万件）を分析した結果、1000万件の機密情報が公開されていることを発見した。

[＠IT]

　GitGuardianは2023年3月8日（フランス時間）、「State of Secrets Sprawl 2023」を公開した。同調査は、GitGuardianがGitHubで公開されているリポジトリを分析した結果に基づいたものだ。

　GitGuardianによると、2022年内に検出した10億2700万件の新規コミットを分析した結果、1000万件の機密情報を発見したという（前年比67％増）。10人当たり1人のコード作成者が機密情報を公開しており、1000件当たり5.5件のコミットに機密情報が含まれているとGitGuardianは報告している。

　発見された機密情報の内訳は、会社の電子メールアドレスやパスワードなど汎用（はんよう）的な機密情報が67％で、Amazon Web Services（AWS）のアクセスキーやMongoDBの認証情報のような、特に秘匿すべき機密情報（特定機密情報）が33％だった。

発見された汎用的な機密情報の内訳（提供：GitGuardian）

発見された特定機密情報の内訳（提供：GitGuardian）

　GitGuardianは次のように述べている。

　「パスワードやAPIキーといった機密情報は単なる認証情報ではなく、コードからクラウドまで、現代のソフトウェアサプライチェーンを安全につなぎ合わせるための構成要素だ。しかし2022年に発生した多くのセキュリティインシデントでは、機密情報の保護がいかに不十分かが指摘されている」

IaCファイルにおける記述ミスや脆弱（ぜいじゃく）性もリスクに

　同調査によると、サーバ、ストレージ、データベース、ネットワークなどアプリケーションで使用するインフラをコードで記述する「Infrastructure as Code」（IaC）が普及していることも明らかになった。IaC関連のコントリビューションは2022年に28％増加していた。

GitHubで公開されているIaCファイルの内訳（提供：GitGuardian）

　一方、IaCツールの「Terraform」ファイルをGitGuardianが調査した結果、1000ファイル当たり平均5.57個の機密情報を発見した。さらに、Terraformリポジトリで1つ以上の脆弱（ぜいじゃく）性が含まれる割合は21.52％だったとしている。

Terraformリポジトリ1個当たりの脆弱性の件数（提供：GitGuardian）

　GitGuardianは、企業が機密情報に関するセキュリティ方針を明確にし、何らかの対策を始めるべきだとした上で、対策の取り組みを拡大させるにはセキュリティと開発の距離を縮めることも重要だと述べている。