コードへのハードコードされたシークレット.

認証情報・API キー・トークン・暗号資産をソースコード・設定ファイル・コンテナイメージに直接埋め込むことで、容易に発見・悪用される状態。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。

認証情報・API キー・トークン・暗号資産をソースコード・設定ファイル・コンテナイメージに直接埋め込むことで、容易に発見・悪用される状態。

ハードコードされたシークレットは、現代の開発で最も頻発し、被害も大きなミスの一つです。Git の履歴、コンテナのレイヤー、モバイルアプリ、CI のログ、公開リポジトリに残り、ボットによって数分以内に発見されることもあります。実例としては、GitHub にコミットされた AWS キー、クライアント側バンドルに混入した Slack トークン、Docker イメージに焼き込まれたデータベースパスワードなどがあります。対策は予防(開発者教育、pre-commit フック、IDE プラグイン、.gitignore のパターン)、検知(GitHub secret scanning、Gitleaks、TruffleHog などによるリポジトリと CI のスキャン)、集中管理(HashiCorp Vault、AWS Secrets Manager、Azure Key Vault、GCP Secret Manager、Kubernetes の External Secrets)を組み合わせます。漏洩を検出した際は履歴から削除するだけでは不十分で、シークレットを直ちにローテーションする必要があります。

コードへのハードコードされたシークレット に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

一般的な別名: ハードコード認証情報, コード中のシークレット漏洩。