.envファイル公開していませんか？

.envファイルが攻撃の標的に

2024年8月15日、セキュリティベンダPalo Alto Networksの研究者は、インターネット上で公開された環境変数ファイル（.envファイル）を利用してシステムに侵入し、盗んだデータの身代金を要求する攻撃キャンペーンについて分析結果を公開しました。

.envファイルにはプログラムが動作する環境に関する情報が記録されており、IDやパスワード、APIキーなどの重要な情報が平文で保存されるため、.envファイルは公開しないことが原則です。

キャンペーンにおいて攻撃者は、誤って公開された.envファイルでAWSのIAM（Identity and Access Management）アクセスキーを入手してクラウド環境に不正アクセスしたり、メールの認証情報を入手してフィッシングメールの送信に悪用したとのことです。

同種の被害を防ぐため、.envファイルがインターネット上に公開されることがないようにしてください。

お問い合わせ