AI企業の非公開APIキーが相次いでGitHubに流出

nosa

2025.11.11

2025年11月11日：サイバーセキュリティ関連ニュース

AI企業の非公開APIキーが相次いでGitHubに流出

The Register – Mon 10 Nov 2025

クラウドセキュリティ企業Wizの調査により、注目すべきAI関連企業50社の大半が「GitHub上で検証済みのシークレットを漏洩していた」ことが明らかになった。

その割合は米Forbes誌の「AI 50」に選ばれた企業（GitHubを利用していない企業を除く）の65％と報じられている。Wizのブログによると、漏洩したシークレットの中には、組織構造や学習データのみならず、非公開モデルの暴露に繋がる恐れのあったものも含まれるという。

流出したシークレットは、Gitリポジトリへのコードコミットに本来含まれていないはずのAPIキー、トークン、その他のデジタル認証情報から構成されているとのこと。Wizは先月にもVS Code拡張機能の開発者によるシークレット流出が増えていると警告しており、この問題の一因にバイブコーディング（AIを活用してコードを生成する新たなソフトウェア開発手法）を挙げている。

Wizは機微性の高いキーをGitHub上に流出させた企業について、ElevenLabsとLangChain以外の名前を挙げていない。警告を受けた両社は迅速に対応したとされるが、こうした企業のほぼ半数には連絡が取れていない、あるいは何の反応も得られなかったとみられている。

Cl0pランサムウェア、Oracle EBSのハッキングで被害を受けたとされる29組織をリークサイトに公表

SecurityWeek – November 10, 2025

OracleのEPR（エンタープライズ・リソース・プランニング）ソリューション「E-Business Suite（EBS）」の顧客を狙った9月下旬の攻撃キャンペーンで、被害を受けたとされる約30組織がCl0p（別名Clop）ランサムウェアグループのリークサイトで公表された。

数十組織の経営層に恐喝メールを送信したこのキャンペーンは、FIN11の名で追跡される営利目的の脅威アクターグループが実行したと思われる。犯行声明を出したのはFIN11と関連付けられているCl0pだが、今回のキャンペーンでCl0pの名前が公に使われたことの背景には、ファイル転送ソリューションのCleo、MOVEit、Fortraの顧客を標的とした同様の大規模キャンペーンに同グループが関与していたことがあると考えられている。

Cl0pのリークサイトには、Oracle EBSハッキングの被害者とされる組織が現時点で29組記されている。そのうち、最初に名指しされた米国のハーバード大学、南アフリカのウィットウォーターズランド大学、アメリカン航空傘下のエンボイ・エアといった組織は、10月中旬に攻撃者から言及された直後に被害を受けたことを認めた。

ロイター通信によると、ワシントン・ポスト紙も先週、この攻撃で標的にされたことを確認したものの、詳細を明らかにしていないという。そのほかには産業界大手のシュナイダーエレクトリックとエマソン、パソコン周辺機器総合メーカーのロジテック、さらに通信・自動車、鉱業、専門サービス、廃水処理、建設、保険、金融、製造、運輸、テクノロジー、エネルギー、HVACセクターなど多様な業界の企業名が挙がっているが、その大半はまだデータ侵害の被害を公には認めていないようだ。