FIFAのMicrosoft Entra環境に存在した深刻なアクセス制御の脆弱性により、あるホワイトハットハッカーがワールドカップのテレビ配信システムや試合管理システムなど、FIFAのグローバルインフラ全体を直接制御できる状態にあったことが明らかになりました。
人類がこれほどの惨事を辛うじて回避したのは、1962年にソ連海軍少将のワシーリー・アルヒーポフが核ミサイルの発射命令を拒否して核戦争を防いで以来のことかもしれません。そして今回、ほんの数日前にも同様の「危機」が回避されました。
6月14日、「BobDaHacker」というハンドルネームを持つハッカーが、国際サッカー連盟のオンラインインフラ全体がインターネット上の誰もがアクセスできる状態に無防備に置かれていることを発見しました。簡単に作成できる偽のアカウントを使うだけで、ワールドカップの運営に使われるあらゆるシステムに到達できたのです。悪意のある人物であれば、世界中の視聴者向けに大会の放送を中断させたり、テレビ映像を猥褻なコンテンツに差し替えたりすることも容易にできた状況でした。BobDaHackerは悪用することなく、責任ある情報開示に並々ならぬ努力を注ぎました。
Dark Readingはこの件についてFIFAにコメントと説明を求めましたが、最終的に回答を得ることはできませんでした。
ワールドカップをハックする方法
南米の若き天才選手を食い物にする悪徳代理人であれ、アドリアン・ラビオの母親であれ、誰でもサッカーエージェントとして登録申請できます。FIFAエージェント・プラットフォームで身分証明書を提出し、メールアドレスを認証するだけで手続きは完了です。
登録が完了すると、FIFAはその人物のアカウントをMicrosoft Entraテナント上に作成します。問題は、そのテナントがFIFAの内部システム全体を支えるものと同一だったことです。BobDaHackerはエージェントとして登録した後、取得したアカウントを利用してFIFAのコアデータプラットフォームへのアクセスを試みました。サーバーからの応答は一見安心できるものでした。権限不足として、アクセスは拒否されたのです。
しかし、それは表面上のことに過ぎませんでした。「アクセス拒否」というメッセージの裏側では、システムのバックエンドAPIがBobDaHackerの求めるままにあらゆるアクセスを提供していたのです。
「これは本当によく見かけるパターンです」と、このハッカーはDark Readingに語っています。「サーバー側の検証を伴わないクライアント側の認可は、私の仕事の中で最も頻繁に見つかるパターンの一つです。大企業に限って、ロールを確認して『アクセス拒否』ページを表示するAngularやReactの洗練されたフロントエンドを構築しておきながら、バックエンドは認証済みユーザーであれば誰にでもすべてのデータを提供してしまっているのです。」
BobDaHackerはFIFAのクライアント側の防壁を易々と突破し、ワールドカップの全放送を管理するライブ制作ハブ、ストリーミング管理プラットフォームへのアクセスに成功しました。
ワールドカップ放送の完全乗っ取り
FIFAの制作環境へのアクセスで大会のカメラ映像を閲覧できるだけであれば、まだ被害は限定的でした。しかし驚くべきことに、そこには完全な操作権限が付随していました。BobDaHackerはコートジボワール対エクアドルの試合中継を途中で中断させることも、任意の映像に差し替えることもできる状態にあったのです。
「攻撃者はリックロールでFIFAワールドカップ全体を台無しにすることができました。あるいはスマホゲームの画面を、試合中継中に世界中すべてのテレビネットワークでライブ放映することもできたのです」と、BobDaHackerは自身のブログに記しています。
これは最悪のシナリオですが、悪意のあるハッカーが引き起こせた被害はそれだけではありませんでした。同じ権限のないサッカーエージェントアカウントで、FIFAの試合管理プラットフォームにも侵入できる状態にあり、スコアやその他の試合データをリアルタイムで改ざんしたり、直近の試合の開始時刻を変更したりすることすら可能でした。
さらに、FIFAの実況情報システムへのアクセスも可能であり、悪意ある人物が全言語の実況アナウンサーの発言内容にライブで影響を与えることもできました。加えて、試合中の分析プラットフォームや、収益・選手移籍などに関するファイルが含まれる開発者環境にもアクセスできる状態でした。
BobDaHackerはこう強調しています。「クライアント側の認可は、認可とは言えません。フロントエンドだけがロールを確認しているなら、それはアクセス制御ではなく、単なる提案に過ぎません。サーバーがそれを強制しなければなりません。すべてのAPIルート、すべてのエンドポイント、例外なしに。」
また、「FIFAが特別にセキュリティが悪いわけではありません。食品・飲料、航空、ロボティクス、エンターテインメントなど、Fortune 500企業でも同様の問題を発見しています。パターンは常に同じです。フロントエンドがアクセス制御を行い、APIは行わない。FIFAが際立っているのは脆弱性そのものではなく、露出していた対象の深刻さです」とも述べています。
FIFAのオウンゴール
サイバーセキュリティが未成熟な組織にありがちなことですが、BobDaHackerはEntraの脆弱性をFIFAに報告しようとしたものの、すべての試みが失敗に終わりました。「FIFAにはsecurity.txtも、脆弱性開示ポリシー(VDP)も、バグバウンティプログラムも、研究者が連絡を取る手段すらありません。それ自体がすべてを物語っています。CISAとFBIに連絡しなければならなかったのは、FIFAへの直接報告が不可能だったからです」と語っています。
諦めることなく、深夜に必死でGoogle検索を続けたこのハッカーは、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)が2026年ワールドカップにおけるサイバーセキュリティの連邦政府側の主管機関であることを突き止めました。CISAのホットラインとFBIに連絡した結果、当局の介入により翌日には問題が修正されたようです。
それでも、CISAがイベントを支援していることを考えると、ワールドカップのサイバーセキュリティ上の問題の深刻さには皮肉を感じずにはいられません。「CISAとFIFAの連携に脆弱性対応やインシデントレスポンスに関する取り組みが含まれていたとしても、それがFIFAの実際のセキュリティ体制には明らかに反映されていませんでした」とBobDaHackerは指摘しています。
Dark Readingに共有された長い声明の中でCISAは、2026年ワールドカップへの取り組みとして、開催都市やスタジアム、FIFAベースキャンプ、ホテル、地域の重要インフラを対象としたサイバーセキュリティおよび物理セキュリティ演習を実施してきたことを説明しています。ただし、FIFAのデジタルインフラのセキュリティや全国放送の放映の完全性については一切言及がありませんでした。
翻訳元: https://www.darkreading.com/application-security/fifa-bug-world-cup-streams-remote-takeover
