.envファイル漏洩

.env File Leak 脆弱性

APIキーやDB接続情報を含む.envファイルが外部から閲覧可能になる脆弱性。

概要

.envファイル漏洩は、Laravel・Node.js・Pythonアプリ等で使われる環境変数定義ファイル(.env)が、Webサーバーの設定ミスにより外部から直接閲覧できてしまう脆弱性です。.envにはデータベース接続情報、APIキー、暗号鍵、外部サービス認証情報など極めて機密性の高い情報が含まれることが多く、漏洩すると即座に深刻な侵害につながります。

原因は (1) .envをWebサーバーのドキュメントルート内に配置している、(2) Webサーバー側で「.」始まりのファイルへのアクセスを禁止していない、(3) Gitリポジトリ(/.git)経由で間接的に取得される、等です。攻撃者は `/{,public/,api/,admin/}.env` のような複数パスを自動探索しています。

対策は (1) .envをドキュメントルート外に配置、(2) Webサーバー設定で.env / .git / .htaccess等の機密ファイルへのアクセスを明示的に禁止、(3) APIキー等は漏洩前提で短期ローテーションする、(4) リポジトリへの誤コミット防止(.gitignore徹底)、です。

Scanrollはこう守る

Scanrollは、外部からの.envファイルへのアクセス試行を検知して攻撃者IPを自動遮断します。さらにWebサーバー側の設定をチェックし、.envや.git等の機密ファイルが万が一公開状態になっていればお客様に通知し、設定の見直しをご案内します。