1,000万件のウェブページを調査した研究者が、主要14社のサービスに関連する1,748件の有効なAPI認証情報を、銀行や医療機関を含む約1万のウェブサイト上で発見した。こうした流出により、攻撃者が機密データにアクセスしたり、デジタルインフラを掌握したりする恐れがある。スタンフォード大学のヌルラ・デミル氏は、この問題を大手企業にも影響を及ぼす非常に重大なものだと指摘している。
カリフォルニア州のスタンフォード大学でヌルラ・デミル氏が率いる研究チームは、1,000万件のウェブページをスキャンし、Amazon Web Services、Stripe、GitHub、OpenAIなどのサービスで検証済みの有効なAPI認証情報を1,748件発見した。これらは約1万のウェブサイトに分散しており、影響を受けた組織には世界的な重要金融機関、ファームウェア開発企業、大手ホスティングプラットフォームのほか、銀行や医療機関などが含まれる。RSA秘密鍵を露呈させる可能性のある認証情報の流出は、攻撃者がサーバーになりすましたり、通信を解読したり、企業のインフラに対する管理者権限を奪取したりすることを可能にする恐れがある。流出の84%はJavaScript環境で見つかり、これは開発者が使用するバンドラーツールに起因する可能性が高い。一方、16%はプラグインなどのサードパーティ製リソースによるものだった。これらの認証情報は平均で12ヶ月間公開された状態にあり、最大で5年間オンラインに残っていたケースもあった。研究チームが影響を受けた企業に通知したところ、約50%が2週間以内にキーを削除したが、一部は対応しなかった。マンチェスター・メトロポリタン大学のケイティ・パクストン=フィア氏は、多くの開発者に悪意はなく、開発パイプラインのプログラミング上の特異性が露呈の原因であると分析している。ストーニーブルック大学のニック・ニキフォラキス氏は、APIキーの流出は攻撃者が正規ユーザーとして振る舞うことを可能にし、現代のソフトウェア開発におけるリスクとなっていると強調した。デミル氏は共有の責任の重要性を強調しており、開発者は環境を適切に構成し、ツール作成者はデフォルトでキーを非表示にすべきであり、ホスト側も流出を迅速にスキャンして無効化するべきだと述べている。研究成果の詳細はarXivの論文(DOI: 10.48550/arXiv.2603.12498)で確認できる。
