Zenn
🐡

Next.jsの管理画面秘匿URL実装で発見した重大な実装ミスと修正方法

に公開
2
Next.js
TypeScript
Vercel
env
tech

はじめに

Next.jsで管理画面の存在を隠蔽する「秘匿URL」機能を実装したところ、実装ミスでセキュリティ的に大きな問題を生み出しました。本記事では、その問題の詳細と、セキュリティと運用性を両立する修正方法について解説します。

背景:管理画面秘匿URL機能とは

一般的なWebアプリケーションでは、管理画面のURLは推測しやすいパスになりがちです。

# よくある管理画面URL(推測されやすい)
/admin
/admin/login
/dashboard
/control-panel

これに対し、秘匿URLは推測困難なランダムなパスを使用することで、管理画面の存在自体を隠蔽する手法です。

# 秘匿URL(推測困難)
/x7k9m2p5w8t3q6r1/admin/login
/mg-admin-access-v2/dashboard

最初の実装:環境変数アプローチ(問題のある実装)

Next.jsでの秘匿URL実装として、最初に環境変数を使用したアプローチを採用しました。

実装内容

// middleware.ts
export function middleware(request: NextRequest) {
  const { pathname } = request.nextUrl;
  const adminPathPattern = /^\/[a-zA-Z0-9]+\/auth/;
  
  if (adminPathPattern.test(pathname)) {
    // 環境変数から秘匿パスを取得
    const secretPath = process.env.NEXT_PUBLIC_ADMIN_SECRET_PATH;
    
    if (!pathname.startsWith(`/${secretPath}`)) {
      // 404偽装
      return new NextResponse('Not Found', { status: 404 });
    }
  }
  
  return NextResponse.next();
}

// src/app/[admin-secret]/layout.tsx
export default async function AdminLayout({ children, params }: AdminLayoutProps) {
  const secret = (await params)['admin-secret'];
  const currentSecretPath = process.env.NEXT_PUBLIC_ADMIN_SECRET_PATH;
  
  if (secret !== currentSecretPath) {
    notFound();
  }
  
  return <>{children}</>;
}

# 環境変数設定
NEXT_PUBLIC_ADMIN_SECRET_PATH=x7k9m2p5w8t3q6r1

一見正常に動作

この実装により、以下の動作を実現できました:

# ✅ 正常アクセス
https://example.com/x7k9m2p5w8t3q6r1/auth/login → 200 OK

# ❌ 不正アクセス
https://example.com/admin/login → 404 Not Found
https://example.com/invalid-path/auth/login → 404 Not Found

表面的には秘匿URL機能が正常に動作しているように見えました。

🚨 重大な実装ミス

ところが、運用中にこの実装に致命的なセキュリティ欠陥があることを発見しました。

問題1:ブラウザ開発者ツールでの露出

// ブラウザのコンソールで誰でも実行可能
console.log(process.env.NEXT_PUBLIC_ADMIN_SECRET_PATH);
// → "x7k9m2p5w8t3q6r1" が表示される

問題2:ソースコードでの露出

# ブラウザのView Sourceで発見可能
curl -s https://example.com/ | grep -i "x7k9m2p5w8t3q6r1"
# → 秘匿パスが発見される

問題3:Next.jsビルド成果物への埋め込み

// Next.jsのビルド成果物(_next/static/chunks/*.js)内
self.__BUILD_MANIFEST={
  "pages": {
    "/x7k9m2p5w8t3q6r1/auth/test": ["static/chunks/pages/..."]
  }
}

根本原因:NEXT_PUBLIC_プレフィックスの仕様

Next.jsでは、NEXT_PUBLIC_ プレフィックスが付いた環境変数はクライアント側に公開される仕様です。

// Next.jsの環境変数の動作
process.env.SECRET_KEY // ❌ サーバーサイドのみ(クライアント側では undefined)
process.env.NEXT_PUBLIC_API_URL // ✅ クライアント・サーバー両方で利用可能

// つまり NEXT_PUBLIC_ADMIN_SECRET_PATH は完全に公開されている

セキュリティ影響の評価

この脆弱性により、以下の深刻な影響が発生していました:

1. 管理画面の存在完全露出

  • 秘匿URLが無効化
  • 管理画面の存在が誰でも発見可能
  • 「秘匿」の意味が完全に失われる

2. 攻撃者による悪用可能性

  • ブルートフォース攻撃の標的特定
  • 管理画面への不正アクセス試行
  • セキュリティスキャナーでの自動発見

3. コンプライアンス問題

  • セキュリティ監査での指摘対象
  • ペネトレーションテストでの発見
  • セキュリティ基準への非準拠

修正方針:ハードコーディング + 環境変数指名方式

今回の実装ミスを修正するため、以下のアプローチを採用しました:

設計原則

  1. 候補パス: ソースコード内でハードコーディング(秘匿性確保)
  2. アクティブパス選択: サーバーサイド環境変数で指名(運用性確保)
  3. クライアント露出なし: NEXT_PUBLIC_ プレフィックス完全廃止

修正後の実装

1. 秘匿パス管理ファイル

// src/config/admin-secret.ts
const CANDIDATE_ADMIN_PATHS = [
  'admin-panel-2024',        // index: 0
  'x7k9m2p5w8t3q6r1',       // index: 1 (旧パス)
  'secure-admin-gateway',    // index: 2
  'mg-admin-access-v2',      // index: 3
  'mythologia-control-hub',  // index: 4
  'ast-admin-portal',        // index: 5
  'admin-bridge-secure',     // index: 6
  'mth-secure-entry',        // index: 7
] as const;

const DEVELOPMENT_PATHS = ['dev-admin', 'localhost-admin'] as const;

export function getActiveAdminSecretPath(): string {
  // 開発環境
  if (process.env.NODE_ENV === 'development') {
    return DEVELOPMENT_PATHS[0];
  }
  
  // 環境変数でアクティブパスのインデックスを指定
  const activeIndex = parseInt(process.env.ADMIN_SECRET_PATH_INDEX || '3', 10);
  
  // 範囲チェック
  if (activeIndex < 0 || activeIndex >= CANDIDATE_ADMIN_PATHS.length) {
    console.error(`Invalid ADMIN_SECRET_PATH_INDEX: ${activeIndex}`);
    return CANDIDATE_ADMIN_PATHS[3]; // デフォルト
  }
  
  return CANDIDATE_ADMIN_PATHS[activeIndex];
}

export function isValidAdminSecretPath(path: string): boolean {
  const activePath = getActiveAdminSecretPath();
  
  // 開発環境では複数パスを許可
  if (process.env.NODE_ENV === 'development') {
    return DEVELOPMENT_PATHS.includes(path as typeof DEVELOPMENT_PATHS[number]) || path === activePath;
  }
  
  return path === activePath;
}

2. ミドルウェアの修正

// middleware.ts
import { isValidAdminSecretPath } from './src/config/admin-secret';

export function middleware(request: NextRequest) {
  const { pathname } = request.nextUrl;
  const adminPathPattern = /^\/[a-zA-Z0-9]+\/auth/;
  
  if (adminPathPattern.test(pathname)) {
    const pathSegments = pathname.split('/');
    const secretSegment = pathSegments[1];
    
    // サーバーサイドで環境変数を参照して検証
    if (!isValidAdminSecretPath(secretSegment)) {
      return new NextResponse('Not Found', { status: 404 });
    }
  }
  
  return NextResponse.next();
}

3. レイアウトファイルの修正

// src/app/[admin-secret]/layout.tsx
import { isValidAdminSecretPath } from '../../config/admin-secret';

export default async function AdminLayout({ children, params }: AdminLayoutProps) {
  const secret = (await params)['admin-secret'];
  
  // サーバーサイドで環境変数を参照して検証
  if (!isValidAdminSecretPath(secret)) {
    notFound();
  }
  
  return <>{children}</>;
}

4. 環境変数設定

# サーバーサイド環境変数(NEXT_PUBLIC_ プレフィックスなし)
ADMIN_SECRET_PATH_INDEX=3  # mg-admin-access-v2 を指定

# 各環境での設定例
# 開発環境: 設定不要(自動的に dev-admin)
# ステージング: ADMIN_SECRET_PATH_INDEX=4  # mythologia-control-hub
# 本番環境: ADMIN_SECRET_PATH_INDEX=5     # ast-admin-portal

セキュリティ向上効果

1. クライアント側露出の完全排除

// 修正後:ブラウザコンソールで実行しても
console.log(process.env.ADMIN_SECRET_PATH_INDEX);
// → undefined(サーバーサイドでのみ利用可能)

2. ソースコード検査での発見困難化

# 候補パスが複数あるため、実際の有効パスの特定が困難
curl -s https://example.com/ | grep -i "admin"
# → 複数の候補が見つかるが、どれが有効かわからない

3. 動的パス変更の実現

# 環境変数変更のみで即座にパス変更
# デプロイ不要での緊急パス無効化が可能
ADMIN_SECRET_PATH_INDEX=4  # 即座に変更反映

運用面での改善

1. 環境別パス管理

環境 ADMIN_SECRET_PATH_INDEX アクティブパス 用途
開発 設定不要 dev-admin 開発・テスト
ステージング 4 mythologia-control-hub 検証環境
本番 5 ast-admin-portal 本番運用

2. 緊急時対応手順

# 1. 緊急パス無効化(即座)
ADMIN_SECRET_PATH_INDEX=0  # 異なるパスに即座変更

# 2. 新しいパス追加(必要に応じて)
# コードに新しい候補パスを追加後
ADMIN_SECRET_PATH_INDEX=8  # 新しいパスを指定

# 3. 旧パス完全削除(セキュリティ強化)
# 候補リストから旧パスを削除

セキュリティテストの実施

修正後の実装について、以下のテストを実施しました:

1. クライアント側露出テスト

// ✅ 環境変数がクライアント側で取得不可能
console.log(Object.keys(process.env).filter(k => k.includes('ADMIN')));
// → [] (空配列)

2. ソースコード検査テスト

# ✅ 複数候補により実際の有効パスの特定が困難
curl -s https://example.com/_next/static/chunks/main.js | grep -i admin
# → 複数の候補パスが見つかるが、どれが有効かわからない

3. 動的変更テスト

# ✅ 環境変数変更による即座のパス切り替えを確認
# 変更前: /mg-admin-access-v2/auth/test → 200 OK
# 環境変数変更: ADMIN_SECRET_PATH_INDEX=4
# 変更後: /mg-admin-access-v2/auth/test → 404 Not Found
# 新パス: /mythologia-control-hub/auth/test → 200 OK

学んだ教訓

1. Next.js環境変数の仕様理解の重要性

// Next.jsの環境変数の動作を正しく理解する
process.env.SECRET_KEY        // サーバーサイドのみ
process.env.NEXT_PUBLIC_*     // クライアント・サーバー両方(公開される)

2. セキュリティ設計における「見た目の動作」の罠

表面的には正常に動作していても、根本的なセキュリティ欠陥が潜んでいる可能性があります。

3. セキュリティと運用性のバランス

  • 完全ハードコーディング:セキュリティは高いが運用性が低い
  • 環境変数のみ:運用性は高いがセキュリティリスクあり
  • ハイブリッドアプローチ:両者のメリットを活用

まとめ

Next.jsでの管理画面秘匿URL実装において:

🚨 避けるべき実装

  • NEXT_PUBLIC_ プレフィックスでの秘匿情報管理
  • クライアント側での秘匿パス検証
  • 単一の環境変数への依存

✅ 推奨される実装

  • 候補パスのソースコードハードコーディング
  • サーバーサイド環境変数でのアクティブパス指名
  • 複数候補による推測困難化

セキュリティ向上効果

  • クライアント側露出の完全排除
  • ソースコード検査での発見困難化
  • 動的パス変更による運用性向上

この経験から、セキュリティ機能の実装では、フレームワークの仕様を正しく理解し、多層的な防御を実装することの重要性を学びました。

表面的な動作確認だけでなく、攻撃者の視点での検証を行うことで、真に安全なシステムを構築できます。

参考リンク

Discussion

AnriAnri

知見の共有ありがとうございます。Next.jsとセキュリティを齧っている者です。
「セキュリティホール」というと、OSや提供されているプログラム側の欠陥を想起する言葉ですが、記事を拝読した限り、「Next.jsフレームワーク自体の欠陥」ではなく、「実装上のミス」起因だと思いました。そもそもURLの推測不可能性でセキュリティを担保するより、認可やIP制限等のアクセス制御をかけてあげれば良いのではないかと思います。

Next.jsではServerとClientをフロントエンドで扱うのが特徴ですが、use-client宣言然り、envのNEXT_PUBLIC_然り、「意図的に宣言を付加しないと、ClientSideにはならない」という考えが根底にあります。参考リンクにあるenvのドキュメントをはじめ、Server, Client両者の挙動の違いや性質を理解した上での実装が肝要かと思いました。

Hol1kgmg (ほりかわ)Hol1kgmg (ほりかわ)

@Anriさん
ご指摘ありがとうございます。
すみません...
こちらの知見不足でした。誤解を招く表現になってしまい、申し訳ありません。

おっしゃる通り、実装ミスです。
大変お恥ずかしいのですが、「セキュリティ的に問題のある実装」を「セキュリティホール」に含まれると考えてしまったので、即座に修正いたします。

また、「認可やIP制限等のアクセス制御」の実装も検討したのですが、個人開発による都合上、「実装コスト」と「バックエンドへのAPIリクエスト数の削減」の2点から優先度を下げておりました。