I. 概要
Webフレームワークなどを利用しWebアプリケーションを構築する際に、推測可能な弱いシークレットやインターネット上に公開されているサンプルコードなどに含まれるデフォルトまたは既知のシークレットを設定し、そのまま本番運用しているサイトが存在します。こうしたサイトでは、環境や条件次第で、攻撃者により署名や暗号化処理を偽装され、サーバー上で任意のコード実行に至るなどの可能性があります。
本問題を悪用する攻撃事例として、複数の海外セキュリティ機関から、既知のASP.NETのマシンキーが悪用された侵害事例が公表されています。
当情報の発信時点において、JPCERT/CCでは本問題の国内での悪用に関する情報を確認していないものの、JPCERT/CCと連携する調査機関により、本問題に該当する国内のサイトが1,400件を超えることを確認しており、今後、本問題を悪用した攻撃の発生が懸念されます。
そのため、自組織で運用するWebアプリケーションが本問題に該当するかを点検し、該当する場合はシークレットを変更するなどの対策の実施を推奨します。点検にあたっては、本問題の有無を検出するライブラリが海外セキュリティ企業のBlack Lantern Securityから公開されています。詳細は「II. 対策」をご確認ください。
II. 対策
開発または運用するWebアプリケーションで、Webフレームワークのデフォルトまたは既知のシークレットが使われている場合、シークレットの変更などの対処をしてください。
Black Lantern Securityによる検出用ライブラリが対応するWebアプリケーションフレームワークおよび関連技術は後述のとおりですので、適宜点検に利用してください。
- ASP.NET
- Django
- Express.js
- Flask
- JavaServer Faces (JSF)
- JSON Web Token (JWT)
- Laravel
- PeopleSoft
- Rack
- Ruby on Rails
- Symfony
- Telerik UI
- Yii 2
Black Lantern Security
badsecrets: A library for detecting known secrets across many web frameworks
https://github.com/blacklanternsecurity/badsecrets
Black Lantern Security
Introducing Badsecrets
https://blog.blacklanternsecurity.com/p/introducing-badsecrets
III. 関連情報
The Shadowserver Foundation
HIGH: Badsecrets Report
https://www.shadowserver.org/what-we-do/network-reporting/badsecrets-report/
Microsoft
Code injection attacks using publicly disclosed ASP.NET machine keys
https://www.microsoft.com/en-us/security/blog/2025/02/06/code-injection-attacks-using-publicly-disclosed-asp-net-machine-keys/
Google Cloud
ViewState Deserialization Zero-Day Vulnerability in Sitecore Products (CVE-2025-53690)
https://cloud.google.com/blog/topics/threat-intelligence/viewstate-deserialization-zero-day-vulnerability
Elastic
TOLLBOOTH: What’s yours, IIS mine
https://www.elastic.co/security-labs/tollbooth
CyberNewsFlashは、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
