無料会員登録
ソースコードも、企業のシステム構造や開発ノウハウが含まれる重要情報です。GitHubやGitLabの公開設定ミス、クラウドストレージの共有範囲、退職者や委託先による持ち出しなどをきっかけに、意図せず外部へ流出することがあります。
流出したソースコードにAPIキー、パスワード、アクセストークンなどが含まれている場合、不正アクセスにつながる可能性があります。公開範囲の変更や削除を急ぐだけでなく、アクセス履歴や操作ログを保全し、どの範囲に影響があるかを確認することが重要です。
そこで本記事では、ソースコード流出が疑われる場合に確認すべき経路、被害拡大を防ぐ初動対応、専門調査を検討すべき判断基準を解説します。
目次
ソースコード流出はなぜ重大な問題になるのか
ソースコード流出は、単なるファイル漏えいではありません。システムの構造、認証処理、外部サービスとの接続情報、開発上の弱点が第三者に知られることで、後続の攻撃につながる可能性があります。
システム構造や脆弱性を第三者に知られるおそれがある
ソースコードには、アプリケーションの設計、認証処理、エラー処理、データベース接続の仕組みなどが含まれます。攻撃者がコードを入手すると、脆弱性を探しやすくなり、WebアプリケーションやAPIへの攻撃に悪用されることがあります。
APIキーや認証情報が含まれると不正アクセスにつながる
開発環境のコードや設定ファイルには、APIキー、パスワード、秘密鍵、アクセストークンが残っている場合があります。これらが流出すると、クラウド環境、外部API、データベース、CI/CD環境へ不正アクセスされる可能性があります。
ソースコードが流出しやすい経路
ソースコード流出は、外部攻撃だけでなく、公開設定ミスや関係者による持ち出しでも発生します。まずは、どの経路から流出した可能性があるかを整理することが重要です。
GitHub・GitLab・クラウドストレージの公開設定ミス
非公開にすべきリポジトリが公開状態になっていた、共有リンクを知っていれば閲覧できる設定になっていた、外部ユーザーに過剰な権限が付与されていた、といったケースがあります。
GitHub、GitLab、Google Drive、OneDrive、Dropboxなどを確認する際は、各サービスの公式管理者向け手順に従い、公開範囲、外部共有、アクセス履歴、権限変更履歴を確認してください。
退職者・委託先・開発端末からの持ち出し
退職者や委託先が、業務用リポジトリを個人アカウントへ複製したり、開発端末から外部ストレージへコピーしたりするケースがあります。USB接続履歴、クラウド同期履歴、Git操作履歴、メール送信履歴などを組み合わせて確認する必要があります。
ソースコード流出が疑われるときの初動対応
初動対応では、公開範囲の制限、認証情報の無効化、証拠保全を並行して進めます。原因が分からない段階でログを削除したり、端末を初期化したりすると、流出経路を追えなくなる可能性があります。
リポジトリの公開範囲とアクセス履歴を確認する
まず、対象リポジトリが公開状態になっていないか、外部ユーザーに権限が付与されていないかを確認します。アクセス履歴、クローン履歴、ダウンロード履歴、権限変更履歴、外部連携アプリの利用状況も確認してください。
- 対象リポジトリ、ブランチ、共有先、外部連携を一覧化する
- 公開範囲、権限変更履歴、アクセス履歴を取得する
- 取得したログや画面情報を削除せず、時系列で保存する
APIキー・パスワード・トークンを無効化する
流出した可能性のあるコードに認証情報が含まれる場合は、該当するAPIキー、パスワード、アクセストークン、秘密鍵を無効化し、再発行します。認証情報の再発行後は、影響範囲の確認と不審な利用履歴の調査も必要です。
- コード内のAPIキー、トークン、秘密鍵、接続情報を洗い出す
- 該当する認証情報を無効化し、必要に応じて再発行する
- 無効化前後の利用履歴を確認し、不審なアクセスを整理する
自社だけで判断せず外部の業者にソースコード流出調査を委託すべきケース
ソースコード流出では、公開設定ミス、内部不正、不正アクセスが複合している場合があります。ログだけでは判断できないときは、端末やクラウド、リポジトリの記録を保全したうえで専門調査を検討してください。
誰がいつ持ち出したかログだけで判断できない場合、操作履歴やクラウドログだけでは、誰が実際に取得したのか判断しきれない場合があります。共有アカウント、委託先アカウント、退職者アカウントが関係している場合は、PCログやメール履歴、クラウド同期履歴も確認対象になります。
この時調査前に端末初期化やアカウント削除を進めるのは避け、フォレンジック調査会社にリポジトリ、クラウド、開発端末、メール、VPN、ID管理システムのログを横断的に調査してもらいましょう。外部のフォレンジック調査会社では調査結果をレポート形式でまとめてもらえることがあるので、取引先や顧客への対応や社内の懲戒処分、警察への相談にも活用できるばあいがあります。
おすすめのフォレンジック調査会社
フォレンジック調査はまだまだ一般的に馴染みが薄く、どのような判断基準で依頼先を選定すればよいか分からない方も多いと思います。そこで、30社以上の会社から以下のポイントで厳選した編集部おすすめの調査会社を紹介します。
信頼できるフォレンジック調査会社を選ぶポイント
- 官公庁・捜査機関・大手法人の依頼実績がある
- 緊急時のスピード対応が可能
- セキュリティ体制が整っている
- 法的証拠となる調査報告書を発行できる
- データ復旧作業に対応している
- 費用形態が明確である
上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。
デジタルデータフォレンジック
公式サイトデジタルデータフォレンジック
デジタルデータフォレンジックは、累計4万7千件以上の豊富な相談実績を持ち、全国各地の警察・捜査機関からの相談実績も409件以上ある国内有数のフォレンジック調査サービスです。
一般的なフォレンジック調査会社と比較して対応範囲が幅広く、法人の社内不正調査や労働問題調査に加えて、個人での相談まで受け付けています。24時間365日の相談窓口があり、最短30分で無料のWeb打合せ可能とスピーディーに対応してくれるので、緊急時でも安心です。
運営元であるデジタルデータソリューション株式会社では14年連続国内売上No.1のデータ復旧サービスも展開しており、万が一必要なデータが暗号化・削除されている場合でも、高い技術力で復元できるという強みを持っています。調査・解析・復旧技術の高さから、何度もテレビや新聞などのメディアに取り上げられている優良企業です。
相談から見積りまで無料で対応してくれるので、フォレンジック調査の依頼が初めてという方もまずは気軽に相談してみることをおすすめします。
| 費用 | ★相談・見積り無料 まずはご相談をおすすめします |
|---|---|
| 調査対象 | デジタル機器全般:PC/スマートフォン/サーバ/外付けHDD/USBメモリ/SDカード/タブレット 等 |
| サービス | ●サイバーインシデント調査: マルウェア・ランサムウェア感染調査、サイバー攻撃調査、情報漏洩調査、ハッキング調査、不正アクセス(Webサイト改ざん)調査、サポート詐欺被害調査、Emotet感染調査 ●社内不正調査: 退職者の不正調査、情報持ち出し調査、横領・着服調査、労働問題調査、文書・データ改ざん調査、証拠データ復元 ●その他のサービス: パスワード解除、デジタル遺品調査、セキュリティ診断、ペネトレーションテスト(侵入テスト)、OSINT調査(ダークウェブ調査) 等 ※法人・個人問わず対応可能 |
| 特長 | ✔官公庁・法人・捜査機関への協力を含む、累計47,000件以上の相談実績 ✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応 ✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制 ✔経済産業省策定の情報セキュリティサービス基準適合サービスリストに掲載 ✔警視庁からの表彰など豊富な実績 ✔14年連続国内売上No.1のデータ復旧サービス(※)を保有する企業が調査 ※第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年) |
| 基本情報 | 運営会社:デジタルデータソリューション株式会社 所在地:東京都港区六本木6丁目10-1 六本木ヒルズ森タワー15階 |
| 受付時間 | 24時間365日 年中無休で営業(土日・祝日も対応可) ★最短30分でWeb打合せ(無料) |
まとめ
ソースコード流出が疑われる場合は、まずリポジトリやクラウドストレージの公開範囲、アクセス履歴、外部共有、権限変更履歴を確認してください。APIキーやトークンなどの認証情報が含まれる場合は、速やかに無効化し、不審な利用履歴を確認する必要があります。
退職者、委託先、不正アクセスが関係する場合は、証拠保全を優先し、ログや端末を不用意に削除しないことが重要です。流出経路や影響範囲を正確に把握したい場合は、専門家による調査を検討してください。
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
