incidents
事故図鑑
実際に起きたWeb事故を「原因・影響・初動・再発防止」で分解。記憶に残る形で、同じ轍を踏まないために。
重大CVSS10.02026-06-07
AIで書いたコードからAPIキーが漏れ、不正課金された——本当の原因は放置したCVSS 10.0だった
請求の暴騰は氷山の一角。真因は放置した公開済みCVSS 10.0のRCEだった。固有名詞を伏せた事例から、防御の教訓を抽出します。
重大2026-06-07
Capital One 情報漏えい事件(2019)— SSRFから1億人分が漏れた原因と防御
入口はたった1つのSSRF。そこからメタデータ提供先→過剰権限のIAM一時鍵→S3一括コピーへと連鎖し、約1億600万人分が漏えい。各ホップで止められた。あなたの環境ではIMDSv2・IAM最小権限・送信先の許可リストで再発防止する。
重大2026-06-07
Codecov 改ざん事件(2021)— CIの“信頼するツール”が乗っ取られ秘密情報が流出した原因と防御
原因は『CIで信頼して実行するツール(curl|bashのBash Uploader)が上流で改ざんされた』こと。自分のコードは無傷なので約2か月気づけず、CIの秘密情報が流出。検知はチェックサム照合だった。あなたのCIでは取得物の完全性検証・秘密の最小権限・ローテーション・egress監視で再発防止する。
重大CVSS10.02026-06-07
Equifax 情報漏えい事件(2017)— 未パッチのApache Strutsで1.47億人が漏れた原因と防御
原因は『修正パッチが出ていた既知CVE(CVSS 10.0)を公開システムに当てなかった』こと。監視装置の証明書失効で76日間も持ち出しに気づけず被害が拡大。あなたの環境では資産の棚卸し・パッチSLA・機械監視・検知の健全性で再発防止する。
重大2026-06-07
Laravelアプリの .env が全世界に公開されていた——共用レンタルサーバーで一番ありがちな配置ミス
原因は『アプリ本体をpublic_html直下に置いた』こと。public/ だけを見せるべきだった。応急処置→鍵ローテ→構造改修の三段で直し、再発を仕組みで防ぐ。