近年のサイバー攻撃では、漏えいした認証情報を悪用するケースが急増しています。
APIキーやアクセストークン、クラウド認証情報などは、開発現場やクラウド環境の複雑化とともに増加しており、GitHubや社内システム、CI/CD、チャットツール、さらには生成AI関連システムなど、さまざまな場所に残されるようになっています。
2026年3月開催のウェビナーでは、GitGuardian社 Developer Advocate のDwayne McDaniel氏が、こうした“Secret Sprawl(シークレットの拡散)”の実態と対策について解説しました。
本記事では、その講演内容をもとに、認証情報漏えいリスクが拡大している背景と、企業が取り組むべき対策について紹介します。
なお、本記事は2026年3月開催ウェビナーの内容をもとに、ポイントをテキストで整理したものです。
講演全編をご覧になりたい方は、以下の動画紹介記事もぜひご覧ください。
▶︎ 【関連記事】
【講演動画】攻撃者はもう侵入しない―GitGuardianが語る「認証情報漏えい対策」の最前線(講演全編:35分19秒)
認証情報漏えいを起点とした攻撃が増加
講演では、近年、日本で発生した複数のインシデント事例が紹介されました。
攻撃者は、まずユーザーアカウントや内部システムなどから侵入し、その後、環境内に残された認証情報を探索します。そして、発見した認証情報を利用して権限昇格や横展開(ラテラルムーブメント)を行い、最終的にシステム全体へ侵害を拡大させていきます。
こうした攻撃の流れについて、講演ではMITRE ATT&CKのフレームワークにも触れながら、「Credential Access(認証情報アクセス)」が重要な攻撃ステップになっていることが説明されました。
さらに、Verizonの2025年データ侵害調査レポートでは、認証情報を悪用した攻撃が主要な初期侵入ベクターになっていることも紹介されています。
シークレットはコード以外にも広がっている
認証情報漏えいというと、GitHubなどのコードリポジトリをイメージしがちですが、講演では、シークレットはコード以外にも広範囲に存在している点が強調されました。
たとえば、
- CI/CDパイプライン
- コンテナレジストリ
- チケット管理システム
- チャットツール
- ドキュメント管理システム
- クラウドストレージ
- ナレッジ共有基盤
など、テキストが存在する場所にはシークレットが残される可能性があります。
また、GitGuardianの調査では、公開GitHub上だけでも2024年に約2,400万件の認証情報が追加されたと説明されています。
さらに、企業が内部リポジトリを接続した際には、公開環境よりもさらに多くのシークレットが見つかるケースが多いことも紹介されました。
生成AI時代で拡大する新たなリスク
講演では、生成AIの普及によって、シークレット漏えいリスクがさらに複雑化している点にも触れられました。
AIによるコード生成が普及することで、開発スピードは向上しています。一方で、AI利用者の増加に伴い、セキュリティベストプラクティスが十分に浸透していないケースもあると説明されています。
また、LLM(大規模言語モデル)が社内システムやナレッジベースと連携することで、
- チャットログ
- AI出力結果
- ログファイル
- 設定ファイル
などを通じて認証情報が露出するリスクも高まっています。
講演では、AI関連ログが新たな攻撃対象領域になっていることも指摘されました。
増加する「Non-Human Identity」
講演の中では、「Non-Human Identity(非人間ID)」の増加についても解説されています。
現在のシステム環境では、
- Kubernetes
- マイクロサービス
- サーバーレス環境
- CI/CD
- SaaS連携
など、多数のシステム同士が認証情報を用いて通信しています。
その結果、人間が利用するIDよりも、APIキーやトークンなどの「非人間ID」が大量に存在する状況になっています。
さらに、これらの認証情報は長期間有効なケースも多く、過剰な権限を持っている場合もあるため、漏えい時の影響が大きくなります。
なぜシークレット漏えいは発生するのか
講演では、シークレットスプロールが発生する背景として、いくつかの要因が挙げられています。
マイクロサービス化による複雑化
アプリケーションの分散化により、システム間接続が増加し、認証情報の数も増えています。
クラウド移行による境界の変化
従来の閉域的な環境から、インターネット接続を前提としたクラウド環境へ移行したことで、認証情報管理の重要性が高まっています。
開発スピードの加速
開発現場では迅速なリリースが求められており、認証情報管理の手間を避けるために、一時的なハードコードや共有が行われるケースがあります。
講演では、JIRAチケットに認証情報を貼り付けて共有してしまう例なども紹介されました。
シークレット管理の複雑化
Vaultやシークレット管理基盤が複数存在することで、開発者が適切な管理方法を把握しづらくなっている点も指摘されています。
GitGuardianが提供するアプローチ
講演では、GitGuardianが提供するシークレット検知・監視アプローチについても紹介されました。
GitGuardianでは、
- 公開GitHub監視
- 内部リポジトリ監視
- チャット・チケット監視
- シークレット有効性確認
- リスク優先度判定
- 修復支援
などを通じて、認証情報漏えい対策を支援しています。
また、開発者向けには、
- Git hooks
- VS Code拡張
- 開発端末上でのシークレット検知
などの機能も提供しています。
GitGuardianの詳細につきましては、下記ページもご覧ください。
講演動画もぜひご覧ください
クラウド化、マイクロサービス化、生成AI活用が進む現在、認証情報漏えいは企業全体で取り組むべきセキュリティ課題になっています。特に、APIキーやアクセストークンなどの「Non-Human Identity」は増加を続けており、適切な検知・監視・ローテーションが重要になっています。
講演では、Secret Sprawl(シークレットの拡散)の実態だけでなく、企業がどのように対策へ取り組むべきかについても具体的に紹介されました。
本記事では講演内容のポイントを中心に紹介しましたが、ウェビナー本編では、
- 実際のインシデント解説
- GitGuardianのデモ
- 開発現場で起きている具体例
- シークレット管理の実践的アプローチ
などについても詳しく紹介されています。
ぜひ講演動画もあわせてご覧ください。
| この記事をシェア |
|
|---|
一緒によく読まれている記事
-
ほぼこもセキュリティニュース
- VMware Fusionの特権昇格
- VMware Fusionは、macOS上でWindows、Linuxなどの別のOSを仮想マシンとして実行できる、Broadcom社が開発した強力な仮想化ソフトウェアです。 再起...
-
サイバー領域
- 【Bitsight解説】危機に直面するサプライチェーン:製造業に対する脅威トップ3
- 製造業におけるサプライチェーンセキュリティの課題を、Bitsightの調査データをもとに整理。主要なサイバー脅威と、リスク管理の観点から押さえるべきポイントを解説します。
