GitLabの公開リポジトリで17,000件超のシークレットが漏洩

佐々山 Tacos

2025.12.01

2025年11月29〜12月1日：サイバーセキュリティ関連ニュース

GitLabの公開リポジトリで17,000件超のシークレットが漏洩

BleepingComputer – November 28, 2025

GitLab Cloud上の公開リポジトリ560万件分をすべてスキャンした研究者によれば、これらのリポジトリにおいて、2,800件を超えるドメインに関する17,000件超のシークレットが公開状態になっていたという。

研究者Luke Marshall氏は、大まかに以下のような流れで調査を実施。公開リポジトリの中に、APIキーやパスワード、トークンといった機微な情報が含まれていないかを調べた。スキャンにかかった時間はわずか24時間ほどで、総コストは770ドルだったという。

GitLabの公開APIエンドポイントを使用し、GitLab Cloud上のすべての公開リポジトリを列挙。
カスタムPythonスクリプトを使ってページング処理を行い、プロジェクトID でソート。
この処理によって560万件（重複なし）のリポジトリを抽出。リポジトリ名をAWS Simple Queue Service（SQS）に送信。
AWS Lambdaの関数がSQSからリポジトリ名を取り出し、対象リポジトリに対してシークレットスキャナー「TruffleHog」を実行。
同関数がスキャン結果をログに記録。

スキャンの結果、発見された検証済みのライブシークレットは17,430件存在していた。ほとんどは2018年以降の情報だったが、中には2009年のもの（今も有効）など、かなり古いシークレットも見つかったとされる。

シークレットのタイプで言うと、最も多かったのはGoogle Cloud Platformの認証情報（5,276件超）。これにMongoDBのキー（2,062件）、Telegramボットのトークン（910件）、OpenAIのキー（678件）が続く。またGitLabのキーも401件見つかっている。

これらのシークレットが紐づくドメインは合計で2,804件（重複なし）存在していたため、Marshall氏はClaude Sonnet 3.7およびPythonスクリプトを使って影響を受ける者への通知も自動化。前者は主にWeb検索に、後者はEメール生成のために使用された。その後、通知を受けて多くの組織が公開状態だったシークレットを無効化したものの、今も公開されたままのシークレットがいくつか存在するという。ただしその件数は明かされていない。

Scattered LAPSUS$ Huntersの主要人物とされる少年を記者が名指しも、グループ自身は否定

HackRead – November 27, 2025

サイバーセキュリティジャーナリストのBrian Krebs氏は11月26日、脅威グループScattered LAPSUS$ Hunters（SLSH）の主要メンバー「Rey」の正体はヨルダン在住の15歳の少年であるとの調査結果を報告。しかしRey自身はこれを否定している。

Krebs氏は、Reyがオンライン上に誤って残した以下のような痕跡をOSINTの手法で辿り、ヨルダン在住のSaif・A・Kという少年に行き着いたという。

Rey（かつては「Hikki -Chan」というエイリアスも使用）が「@wristmug」というTelegramハンドルを使っていた際に投稿したスクリーンショットに映り込んだ、Reyのパスワードとされるもの。Krebs氏はこのパスワードが「cybero5tdev@proton.me」というメールアドレスに紐付いていることを見つけ出した。
「Jacuzzi」というTelegramチャンネルにおいて、Rey（Telegram IDは7047194296）が投稿した個人的な情報：
- 「父は航空機のパイロットである」という情報
- アイルランドの血筋を引いているという情報（Gintyという姓との繋がりを投稿して示唆）

Krebs氏はSpycloudの情報を通じ、cybero5tdev@proton[.]meのユーザーのデバイスが2024年初頭にインフォスティーラーに感染していたこと、また同アドレスに関する認証情報少なくとも2回流出していたことを確認。Spycloudには同アドレスに関連する盗難認証情報が数百件インデックスされており、そこからReyのコンピューターがヨルダンの首都アンマンに所在するMicrosoft Windowsデバイスであることを突き止めたと述べている。ただこのデバイスは複数のユーザーが共同で利用するもので、いずれのユーザーも同じ姓（K〜）を持ち、同一の住所（アンマン）を使用していたとされる。また盗難データには、46歳のZaid・Kに関するエントリも含まれており、この人物が母親の旧姓がGintyであると述べていることや、Zaidが頻繁にロイヤル・ヨルダン航空の従業員向け内部Webサイトへアクセスしていたことも示されていたという。

Krebs氏は上記のようなOSINT調査を通じてReyがSaif・A・Kという若者であると結論づけ、Saif自身とのやり取りの内容なども含めて調査結果をブログ記事にまとめたものの、SLSHグループは自身の公式Telegramチャンネルで反撃を開始した。Krebs氏の発見は同グループの評判に傷を付けるための「必死の試み」だと指摘。2025年3月にインテリジェンス企業KELAが発表した報告内容（※）をそのまま流用しただけだと主張したほか、「o5tdev」や「Rey」など複数のエイリアスをたった1人の人物が「完全に異なるテクニック」を使って操っていると考えるのは「笑える」ことだと述べた上、Saifがあたかも関与を認めたかのように見えるよう、Saifの発言を歪めて報じていると批判した。さらに同脅威アクターはKrebs氏に対し、「俺の本当の正体を公に暴き、実証できる本物の証拠を示せるなら、10 BTCを支払ってやる」などと挑発する言葉を送っている。

（※）KELAは、Hellcatグループの中心人物「Rey」が2024年初頭にインフォスティーラーのRedlineとVidarに感染していたこと、またこの感染をきっかけに最終的にヨルダン・アンマン出身のSaifという若い男を特定したと報告していた。詳しくはこちらの記事で：「ハッカーグループの没落：Hellcatのリーダー、インフォスティーラー感染で身元を特定される」

一方で、サイバー犯罪インテリジェンス企業Hudson Rockの共同創業者兼CTOであるAlon Gal氏は、Krebs氏の報告を受けて自身の見解をLinkedInで共有。自らも感染したシステムを調査した結果を踏まえ、3つの重要なポイントとして以下を挙げた。

Reyは身元が晒された後も公然と活動を続け、KELAの3月の調査結果をネット上で嘲笑していた。（後にアカウント凍結）
スティーラー感染は2024年1月で、その後法執行機関には数か月間行動する時間があったはずだが、Reyは近年で最も活発な脅威アクターの一人であるにもかかわらず、何の措置も取られなかった。
感染したマシンで見受けられた言語の使い方、検索履歴、OPSEC意識は、他の場で見られるReyの行動と合致していなかった。

このSaifという人物が本当にScattered LAPSUS$ Huntersの中心人物なのかは、依然として確認されていないとのこと。

スイスの情報保護委員協会、公的機関はSaaSの利用を避けるべきとの決議発表

The Register – Mon 1 Dec 2025

スイス国内のデータ保護責任者で構成される協議体「Privatim」は先週、セキュリティ上の懸念から、スイスの公的機関に対してハイパースケールクラウドやSaaSサービスの使用を避けるよう求める決議を発表した。

この決議は、「大半のSaaSソリューションは、プロバイダーが平文データへアクセスできないようにする真のエンドツーエンド暗号化をまだ提供していない」ことを理由に、SaaS やMicrosoft、Google、Amazonなどのハイパースケールクラウドは、スイス政府機関が「特に機微な個人データや、法的な守秘義務の対象となるデータ」を置く場所として適切ではないとの考えを表明。また、クラウドやSaaSのプロバイダーは規約を一方的に変更できることから、セキュリティやプライバシーの保護内容が損なわれる可能性がある点なども懸念点として挙げている。

Privatimの声明文は、「公的機関が特に機微な個人データや、法的な守秘義務の対象となるデータを国際的なSaaSソリューションで扱うことは、当該機関自身がデータを暗号化し、クラウドプロバイダーが暗号鍵に一切アクセスできない状態となっている場合にのみ可能」にすべきとの結論で締め括られている。