コンテンツにスキップ

GitHubに機密情報を誤って公開した時の完全対処ガイド

BadgeBadgeBadge

はじめに

APIキー、パスワード、設定ファイルなどの機密情報をGitHubに誤って公開してしまうことは、開発者にとって最も避けたいセキュリティインシデントの一つです。本記事では、このような事態が発生した際の緊急対処方法から予防策まで、実践的な解決手順を詳しく解説します。

緊急性について

機密情報がGitHubに公開された場合、**即座に対処**する必要があります。公開リポジトリの場合、数分以内にボットによってスキャンされ、悪用される可能性があります。

実現できること

  • 緊急時の対処

    機密情報の即座な無効化とアクセス制限で被害を最小化

  • 履歴からの完全削除

    git filter-branchやBFG Repo-Cleanerで機密情報を履歴から除去

  • 追跡の停止

    git rm --cachedで今後の変更追跡を無効化

  • 予防策の実装

    .gitignoreや事前検証で再発防止を徹底

緊急対処手順(Critical Response)

フェーズ1: 即座の被害軽減(0-5分以内)

1.1 機密情報の無効化

最優先: 漏洩した機密情報を即座に無効化します。

# APIキーの場合
# 🔥 該当サービスの管理画面で即座にAPIキーを無効化・削除
# 例:AWS、OpenAI、GitHub Personal Access Token等

# データベース認証情報の場合
# 🔥 データベースのパスワードを即座に変更
# 🔥 該当ユーザーのアクセス権限を一時停止

1.2 リポジトリのアクセス制限

# パブリックリポジトリの場合は即座にプライベートに変更
# GitHub上でRepository Settings → Change repository visibility

1.3 関係者への通知

# チーム、セキュリティ担当者に即座に通知
# 影響範囲の特定と拡散防止の協力を要請

フェーズ2: Git履歴からの削除(5-30分以内)

2.1 現在のブランチから削除(基本対処)

機密ファイルがGitの追跡対象になっている場合:

# ファイルをGitの追跡から除外(ローカルファイルは保持)
git rm --cached path/to/secret-file.json

# ディレクトリ全体を除外
git rm -r --cached path/to/secret-directory/

# .gitignoreに追加
echo "path/to/secret-file.json" >> .gitignore
echo "path/to/secret-directory/" >> .gitignore

# 変更をコミット
git add .gitignore
git commit -m "Remove sensitive files from tracking and add to .gitignore"
git push origin main

重要な注意点

git rm --cached は最新のコミットからファイルを削除しますが、Git履歴には残り続けます。完全削除には追加手順が必要です。

2.2 履歴からの完全削除(高度な対処)

方法A: git filter-branch(Git標準)

# 特定ファイルを全履歴から削除
git filter-branch --force --index-filter \
  'git rm --cached --ignore-unmatch path/to/secret-file.json' \
  --prune-empty --tag-name-filter cat -- --all

# 複数ファイルを削除
git filter-branch --force --index-filter \
  'git rm --cached --ignore-unmatch path/to/secret-file.json path/to/config.yml' \
  --prune-empty --tag-name-filter cat -- --all

# リモートに強制プッシュ(⚠️ 危険操作)
git push origin --force --all
git push origin --force --tags

方法B: BFG Repo-Cleaner(推奨)

# BFG Repo-Cleanerのダウンロード
wget https://repo1.maven.org/maven2/com/madgag/bfg/1.14.0/bfg-1.14.0.jar

# 特定ファイルを全履歴から削除
java -jar bfg-1.14.0.jar --delete-files secret-file.json .git

# 特定のフォルダを削除
java -jar bfg-1.14.0.jar --delete-folders secret-folder .git

# パスワードやAPIキーのテキストを置換
java -jar bfg-1.14.0.jar --replace-text passwords.txt .git

# クリーンアップ
git reflog expire --expire=now --all
git gc --prune=now --aggressive

# リモートに強制プッシュ
git push origin --force --all

2.3 ローカルキャッシュのクリーンアップ

# Git内部のキャッシュを完全クリーンアップ
git reflog expire --expire=now --all
git gc --prune=now --aggressive

# 未追跡ファイルも完全削除
git clean -fdx

実践例:APIキー漏洩時の対処

シナリオ

OpenAI APIキーを含む設定ファイル config.json を誤ってプッシュした場合

// 誤ってプッシュしてしまったconfig.json
{
  "openai_api_key": "sk-abcd1234...",
  "database_url": "postgresql://user:password@localhost/db"
}

対処手順

ステップ1: 緊急対応(0-2分)

# 1. OpenAI管理画面でAPIキーを即座に削除
# 2. データベースパスワードを変更
# 3. チームに通知

ステップ2: Git追跡の停止(2-5分)

# ファイルを追跡対象から除外
git rm --cached config.json

# .gitignoreに追加
echo "config.json" >> .gitignore
echo "*.secret" >> .gitignore
echo ".env" >> .gitignore

# コミット・プッシュ
git add .gitignore
git commit -m "Remove config.json from tracking and improve .gitignore"
git push origin main

ステップ3: 履歴からの完全削除(5-15分)

# BFG Repo-Cleanerを使用(推奨)
java -jar bfg-1.14.0.jar --delete-files config.json .git

# クリーンアップ
git reflog expire --expire=now --all
git gc --prune=now --aggressive

# 強制プッシュ(⚠️ チーム全体に事前通知必要)
git push origin --force --all

ステップ4: 新しい認証情報の設定

# 新しいAPIキーを取得してローカル設定
# config.json.example を作成(機密情報を除外したテンプレート)
cat > config.json.example << 'EOF'
{
  "openai_api_key": "YOUR_API_KEY_HERE",
  "database_url": "YOUR_DATABASE_URL_HERE"
}
EOF

git add config.json.example
git commit -m "Add config template for new developers"
git push origin main

GitHubの自動検出機能

GitHubは特定の機密情報パターンを自動検出し、Secret scanning alerts を送信します:

検出対象

  • AWS Access Keys
  • GitHub Personal Access Tokens
  • Google API Keys
  • OpenAI API Keys
  • Stripe API Keys
  • 主要なクラウドプロバイダーの認証情報

検出時の対応

# GitHub Securityタブで検出されたSecret scanning alertsを確認
# 1. 該当の機密情報を即座に無効化
# 2. "Mark as resolved" で解決をマーク
# 3. 履歴からの削除を実行

チーム開発での注意点

強制プッシュの影響

チーム開発での重要な注意

git push --force は他の開発者の作業に深刻な影響を与えます。事前に以下を実施してください:

# 1. チーム全体への事前通知
# 2. 作業中のブランチの退避指示
# 3. 強制プッシュ後のリポジトリ再取得指示

# チームメンバーの対応(強制プッシュ後)
git fetch origin
git reset --hard origin/main  # ⚠️ ローカル変更は失われます

協調作業の復旧手順

# 開発者各自が実行する復旧コマンド
git stash  # 作業中の変更を退避
git fetch origin
git reset --hard origin/main
git stash pop  # 必要に応じて作業を復元

予防策の実装

.gitignoreの強化

# 機密情報ファイル
*.secret
*.key
*.pem
.env
.env.local
.env.production
config.json
secrets.yml
credentials.json

# IDE・エディタ設定
.vscode/settings.json
.idea/
*.swp
*.swo

# OS生成ファイル
.DS_Store
Thumbs.db
desktop.ini

# 一時ファイル
*.tmp
*.bak
*~

# ログファイル
*.log
logs/

# パッケージマネージャー
node_modules/
vendor/
.cache/

# クラウド認証情報
aws/
.aws/
gcp/
.gcp/
azure/

# 開発ツール設定
.env.*
!.env.example

プリコミットフック

#!/bin/sh
# .git/hooks/pre-commit

# 機密情報パターンの検出
SENSITIVE_PATTERNS=(
    "api_key.*=.*['\"][a-zA-Z0-9]{20,}['\"]"
    "password.*=.*['\"][^'\"]{8,}['\"]"
    "sk-[a-zA-Z0-9]{20,}"
    "AKIA[0-9A-Z]{16}"
    "glpat-[a-zA-Z0-9]{20}"
)

for pattern in "${SENSITIVE_PATTERNS[@]}"; do
    if git diff --cached --name-only | xargs grep -l -E "$pattern" 2>/dev/null; then
        echo "❌ 機密情報の可能性がある文字列が検出されました"
        echo "パターン: $pattern"
        echo "コミット前に確認してください"
        exit 1
    fi
done

echo "✅ 機密情報チェック完了"

GitHub Secretsの活用

# .github/workflows/deploy.yml
name: Deploy
on:
  push:
    branches: [main]

jobs:
  deploy:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v3

      - name: Deploy with secrets
        env:
          API_KEY: ${{ secrets.API_KEY }}
          DATABASE_URL: ${{ secrets.DATABASE_URL }}
        run: |
          # 環境変数として機密情報を使用
          echo "Deploying with API_KEY: ${API_KEY:0:8}..."

高度なセキュリティ対策

git-secrets の導入

# git-secretsのインストール(macOS)
brew install git-secrets

# リポジトリでの設定
git secrets --install
git secrets --register-aws

# カスタムパターンの追加
git secrets --add 'sk-[a-zA-Z0-9]{20,}'
git secrets --add 'glpat-[a-zA-Z0-9]{20}'

# スキャン実行
git secrets --scan

自動監視の設定

# GitHub Secret Scanning APIを使用した監視
curl -H "Authorization: token $GITHUB_TOKEN" \
     -H "Accept: application/vnd.github.v3+json" \
     https://api.github.com/repos/owner/repo/secret-scanning/alerts

トラブルシューティング

よくある問題と解決方法

問題1: filter-branchが失敗する

# エラー: Cannot create a new backup
git filter-branch -f --index-filter \
  'git rm --cached --ignore-unmatch secret-file.json' HEAD

# または既存のバックアップを削除
rm -rf .git/refs/original/
git filter-branch --index-filter \
  'git rm --cached --ignore-unmatch secret-file.json' HEAD

問題2: 強制プッシュが拒否される

# プロテクトブランチの場合は一時的に保護を解除
# GitHub Settings → Branches → Edit protection rule
# 完了後は必ず保護を再有効化

問題3: ファイルサイズが大きすぎる

# 大きなファイルの場合はGit LFSを使用
git lfs track "*.zip"
git lfs track "*.tar.gz"
git add .gitattributes

法的・コンプライアンス考慮事項

インシデント報告

## セキュリティインシデント報告書

**発生日時**: 2025-XX-XX XX:XX
**発見者**: [名前]
**影響範囲**: [詳細]
**対処状況**: 
- [ ] 機密情報の無効化完了
- [ ] Git履歴からの削除完了  
- [ ] 関係者への通知完了
- [ ] 予防策の実装完了

**根本原因**: [分析結果]
**再発防止策**: [具体的施策]

GDPR・個人情報保護

# 個人情報が含まれる場合の特別な配慮
# 1. データ保護責任者(DPO)への報告
# 2. 72時間以内の当局報告(必要に応じて)
# 3. データ主体への通知
# 4. 影響評価の実施

まとめ

GitHubに機密情報を誤って公開してしまった場合の対処は、**迅速性**と**完全性**が重要です:

重要ポイント

  1. 即座の対応: 機密情報の無効化を最優先
  2. 完全な削除: Git履歴からの除去まで徹底
  3. チーム調整: 強制プッシュの影響を最小化
  4. 予防策: 再発防止の仕組み構築

ベストプラクティス

  • .gitignore の事前設定
  • プリコミットフックの活用
  • GitHub Secretsの適切な使用
  • 定期的なセキュリティ監査

適切な対処により、セキュリティインシデントの影響を最小限に抑え、今後の安全な開発環境を構築できます。

関連記事