シークレット混入(ハードコード)とは
APIキーやパスワード、暗号鍵などの機密情報がソースコードや設定ファイルに直接書き込まれている状態。漏えい時の被害が大きく、技術DDで検出すべき危険な実装とされる。
シークレット混入(ハードコード)とは、APIキー・パスワード・暗号鍵・トークンといった機密情報が、ソースコードや設定ファイルに平文で直接書き込まれている状態を指します。本来こうした秘密情報は環境変数や専用の秘密管理の仕組みを通じて参照すべきものです。
サイト売買において、これは見過ごされやすい重大なリスクです。コードに鍵が埋め込まれていると、リポジトリの公開・共有や引き継ぎの過程で第三者の手に渡り、外部サービスの不正利用や課金、データ流出に直結します。さらに、譲渡前にそのコードに触れた関係者全員が鍵を知り得る状態になるため、移管後も旧所有者側からアクセスが残る「残存アクセス」の温床にもなります。検出された場合は、引き継ぎ前後での鍵のローテーション(再発行・差し替え)が欠かせません。
RIKKA M&Aの技術デューデリジェンス(/tech-dd)は、ソースコード監査の中でこうした危険な実装パターンを確認し、安全な構成かどうかを評価します。鍵の適切な管理と移管時のローテーションは、安全な事業承継の前提となります。
