【記録】ネット上でのAPIキー漏えい

久しぶりです。
前の投稿からずいぶん時間が経ってしまいました。

考えてみれば、ゼロデイのやつを書くときは無意識に「完璧な構造で書かなきゃ」というプレッシャー感を感じたと思います。

プレッシャーがあるからこそ、書かなくなると思うので、
今日からは初心者の私が感じたまま、見て参考ぐらいができるように、本当の【記録】を始めてみたいと思います。( •̀ ω •́ )y

今日はAPIキーというものについての記録です!

1.APIキーとは

APIは「Application Programming Interface」の略字で、広義ではソフトウェアコンポーネント動詞が互いに情報をやりとりするのに使用するインタフェースの仕様のことを言います。プログラマがあるAPIを適用させて応用プログラム等のソフトウェアを設計し、特定機能を具現するとすれば、それはそのプログラマがその「APIの特定部分を呼び出した」または「APIコール(Call)をした」とも言えるってこと。

APIキーは、そのAPIサービスの提供者が独自に発行する認証情報のことで、中にはそのプロジェクトやについての詳しくて重要な情報が入っていて、もし不正アクセスでもされたら個人情報も一緒に流出・漏えいされる恐れもあるので、パスワードと同じく厳重に管理しなければなりません。だが、セキュリティを疎かにし、そのAPIキーがネット上に漏えいされちゃうことが頻繁に発生しているそうです。


2.漏えい状態のAPIキーを探索

https://www.criminalip.io/ja/asset/search?query=APIKey.txt

OSINT(Open Source Intelligence)検索エンジンで「APIKey.txt」というフィルターをかけて検索してみると、1,000件に至る結果が出てきますが、その中で1つのページにアクセスしてみたら、何だかわからない画面が出てきました。

何もわかんないよ (⊙_⊙;)

しかし、そこでウェブサイトのソースをみると、このサイトについての情報が現れました。

APIキーなどの重要な情報がそのまま漏えいされている

ソースを見たら、発給してもらったAPIキーやAuthDomain、AppIDなどの情報が漏えいされていることが分かります。

AWSのNoSQLサーバー「DynamoDB」で生成されたHTMLファイルに情報が漏えいされている

同じ方法で他のサイトにもアクセスしてみたら、Access KeyやSecret Access Keyなどが漏えいされていました。

最近はAPIキーで新規情報を書いたり、修正もできるようになり、個人情報の流出で済まず、情報の操作までつながる危険性があるそうです。(‵□′)


3.防ぎ方はないの?

前に書いたような漏えいは主に関連作業をするデベロッパーの単純ミスによって発生します。この頃はクラウドなどを使って会社じゃないところでも便利に仕事ができる時代やけど、その利便性の裏には個人情報の漏えいのような危険性が常に存在しています。

一回の単純なミスが個人、ひいてはビジネスにも被害が及ぼされる恐れがあるということをいつも記憶に刻んで、たとえそれが一般的に知られているセキュリティ対策だとしても、それをしっかり守るのが単純ではあるけどもっとも確かな防ぎ方ではないか、と思います。

今日は以上!
少し簡単になれたかなー


この記事が気に入ったらサポートをしてみませんか?