- 研究者「BobDaHacker」がFIFA APIの欠陥を発見――誰でもライブTV中継や解説者フィードを乗っ取れる状態だった
- バグの原因は認可チェックの欠如。FIFAは迅速に修正したが、発見者へのクレジットなし
- 専門家が警告:CWE‑602の典型例であり、認証と認可を混同する危険性を改めて示す結果に
FIFAの内部システムに存在したバグにより、誰でもテレビ放送局へ配信される映像と、FIFA 2026 ワールドカップの試合を実況する解説者のモニター表示を改ざんできる状態にありました。幸いにも、このバグはホワイトハットハッカーによって発見され、悪意ある攻撃者に悪用される前に修正されています。
「BobDaHacker」というハンドルネームを使うセキュリティ研究者が最近、テレビ中継の完全な制御権を掌握できたと報告しました。この研究者はFIFA公式の代理人登録プラットフォームに選手代理人として登録し、FIFAのバックエンドAPIに存在する脆弱性を悪用して複数の内部プラットフォームにアクセスしました。
この脆弱性の本質は、APIがアカウントに対して適切な認可チェックを行っていなかった点にあります。その結果、試合中に視聴者がテレビで目にする映像だけでなく、解説者がモニターで確認する情報まで、自由に操作できる状態にありました。
認証と認可は別物
BobDaHackerは「攻撃者一人が全カメラを同時にジャックできる状態でした。FIFA ワールドカップ全体を”リックロール”することも可能でした」と述べています。「ダークナイト ライジング」のような事態が現実に起きていたかもしれません。
Okta Threat IntelligenceのバイスプレジデントであるBrett Winterford氏は、「FIFAは今回、大きな危機を間一髪でかわしました」と評しています。「FIFAワールドカップの試合の平均グローバルライブ視聴者数は1億7500万人にのぼります。最悪の意図を持つ人物がライブ配信を改ざんできるバグを発見したとしたら、どうなっていたか想像してみてください」
「そのバグは実際に存在していました。幸いにもセキュリティ研究者が最初に発見してくれました」と同氏は言います。しかし、すべての関係者が同じように感謝しているわけではないようです。TechCrunchによると、FIFAはBobDaHackerからの報告から数時間以内に修正を施しましたが、その功績をクレジットすることはありませんでした。
Winterford氏は、このバグはCWE-602(サーバーサイドセキュリティのクライアントサイド強制)のまた別の典型例だと指摘しています。
「これは開発者に向けた重要な教訓でもあります。認証を認可と混同しないでください。認証はユーザーが本人であることを検証するもの、認可はそのユーザーが何にアクセスできるかを管理するものです」
