500万件のWebサーバでGit情報が露出 25万件超で認証情報も漏えい：セキュリティニュースアラート

Mysterium VPNは、公開Webサーバ約500万件でGitの管理情報が閲覧可能と発表した。そのうち約25万件は認証情報を含み、不正操作に直結すると指摘されている。

[ITmedia エンタープライズ編集部]

　Mysterium VPNは2026年2月5日（現地時間）、インターネット全体を対象とした調査結果として、公開Webサーバ約500万件で「Git リポジトリ」の管理情報が外部から閲覧できる状態にあったと発表した。設定不備が原因で、内部ファイルが公開される事例が広範囲に及んでいると指摘する。

約25万件で認証情報が流出か、設定不備によるリスク

　Mysterium VPNの調査によると、496万4815件のIPアドレスで.git構造が確認され、また25万2733件の.git/configに配備用の認証情報が含まれていた。単なる管理情報の露出だけでなく権限取得に直結する可能性がある問題と説明した。

　Gitは分散型バージョン管理システムとして広く使われる。だが、Webの公開ディレクトリに隠しフォルダが混入すると、/.git/HEADや/.git/configなど既知の経路から構成が読み取られ、一般に公開されているツールで内容の再構築が可能になる。これにより、APIキーや内部サービスの資格情報、設定値が判明する恐れがある。とりわけ.git/configは危険度が高い。リモート定義や取得規則、接続先URLを含み、古い運用や自動化の名残でURL内に資格情報が埋め込まれる可能性がある。調査で確認された25万件超において、情報露出から不正利用に移行しやすい状態にあった。

　発生要因として、プロジェクト一式の誤配布、梱包時の隠しフォルダ同梱、経路ごとの防御不足、サーバ側の既定設定が挙げられた。OWASPの試験指針も、配備や設定の不備で非公開ファイルが露出し得ると警告している。

　国別においては、米国が172万2949件で最多となり、ドイツやフランス、インド、シンガポール、オランダ、日本、ロシア、英国、香港が続いた。これは企業の本社所在地ではなく、ホスティングやクラウドの配置密度を反映した結果だという。被害の広がり方は多様でコードの再構築により弱点探索が容易になり、資格情報があればリポジトリー操作や供給網の汚染につながる。構成や命名規則から内部構造が推測され、標的化が進む可能性もある。

　対策として同社は、Webサーバで.gitへのアクセスを全面的に拒否し、公開領域にGit履歴を置かない配備に切り替えることを提案する。資格情報が含まれていた兆候があれば、即時の無効化や再発行、監査の実施が必要だ。開発工程では事前検査や秘密情報の集中管理を導入し、登録前に検知する体制が有効とした。

　同社は、露出率が数％でも母数が巨大であれば影響は甚大になると結論付け、基本的な設定管理の徹底が被害低減に直結すると強調している。