TokyoBlackHatNews

darkreading.com 5分で読了

インド政府システムの脆弱性が市民の個人情報を危険にさらす

独立系セキュリティ研究者が、インド政府のITシステムに影響を与える14件の脆弱性を発見しました。これらの脆弱性により、多くの市民データが危険にさらされていました。

そのうち2件はクリティカル、4件は高深刻度と評価されています。これらは教育ポータルや公務員採用ポータルなど、数百万人の学生や求職者が利用する主要な国家プラットフォームに影響を与えており、生年月日・住所・銀行口座番号といった極めて機密性の高い個人を特定できる情報(PII)が漏洩するリスクがありました。

幸いなことに、世界最大の人口を持つこの国の政府は、若き研究者の報告に耳を傾け、2〜3週間ですべての脆弱性を修正しました。

インド政府システムの脆弱性

デリーの教育局が管轄する学校には、200万人に近い生徒が在籍しています。情報漏洩の脆弱性が存在した場合、その影響範囲は非常に広いと言えます。

4月、独立系サイバーセキュリティ研究者のスシャント・バールドワジ氏は、デリー政府の2つのディレクトリを保護しているアクセス制御がサーバーレベルで適用されていないことを発見しました。これはよくある問題で、表向きはアクセス拒否のメッセージが表示されていても、それを単純に飛ばしてアクセスすることを妨げる仕組みが存在しない場合があります。

バールドワジ氏は認証なしでディレクトリにアクセスすることに成功しました。さらに、ディレクトリ内のファイルが予測可能な命名規則に従っていたため、訪問するURLを少し変えるだけで、さまざまな興味深い個人データを発見することができました。最終的に、生徒の氏名・保護者名・在籍校などの学籍データや試験結果、そして職員の記録まで露出していることが確認されました。

バールドワジ氏はデリー政府の別のITポータルでも情報漏洩の問題を発見しました。こちらは影響を受ける人数こそ少ないものの、リスクははるかに深刻です。対象のポータルは奨学金を管理するもので、低所得者層の割合が相対的に高い利用者を抱えていました。ここでも認証の欠如と予測可能なファイル構造により、4,399人分の氏名・保護者名・学歴・奨学金情報、そして完全な銀行口座番号がインターネット上の誰でも閲覧できる状態でした。

しかし最も深刻だったのは、連邦公務員委員会(UPSC)の国家ポータルで発見された問題です。UPSCはインドの公務員採用を担う主要機関であり、膨大な量の個人データを管理しています。たとえば2023年だけでも、130万人がUPSCを通じてポジションに応募しています。

研究者はUPSCのポータルで12件の脆弱性を発見しましたが、その多くは不十分なアイデンティティ・アクセス管理(IAM)に起因するものでした。中でも最も深刻だったのは、ポータルの認証を管理する管理インターフェイスがインターネット上の誰にでも完全に開放されていた点です。悪意のあるハッカーがアクセスして任意の権限を付与し、システムとそのデータを完全に掌握することも容易だったと言えます。

バールドワジ氏はポータル内でさらに別のクリティカルな脆弱性も発見しており、自動化されたクレデンシャル攻撃に対して無防備な状態でした。そのほかにも、ブラウザレベルのセキュリティヘッダーの欠如、暗号化やワンタイムパスワード(OTP)に関する問題、公開ドキュメントへのアプリケーションデータの漏洩なども確認されており、これらはさまざまな攻撃に悪用される可能性がありました。

政府システムが抱えるセキュリティ課題

公共部門で最もよく見られる失敗は、高度な攻撃手法によるものではなく、ディレクトリを開放したままにしておくといった単純なミスです」と、Bugcroydのチーフストラテジーおよびトラストオフィサーであるトレイ・フォード氏は述べています。「今回のケースは明確なパターンを示しています。多くの市民向けポータルが共有インフラ上で構築・運用されている場合、各ポータルがアクセス制御を適切に適用しているかどうかを責任を持って確認する単一の担当者が存在しなくなるのです。」

数十年前のシステムを抱える大規模で複雑な政府組織においては、「公開資産の全インベントリを通じてアクセス制御を管理し、協調的な脆弱性開示を防衛インフラとして扱うことが求められます。今回の事例では、その仕組みがあったことで、3件の深刻な情報漏洩が迅速な修正へとつながりました」と同氏は述べています。

バールドワジ氏もフォード氏の見解に同意しています。「私がこれまで確認してきた問題のほとんどは、高度な攻撃手法の結果ではなく、設定の不備、一貫性のないアクセス制御、あるいはより強固なエンジニアリングとレビュープロセスによって対処できるセキュリティ上の見落としから生じています」と同氏は語っています。

同氏によると、インドをはじめ多くの国において、「セキュリティの成熟度はすべての政府部門で一律ではありません。多くのプラットフォームが依然としてレガシーアプリケーションやインフラに依存しており、セキュリティ対策の水準は組織によって異なります。リソースの制約、調達スケジュール、経験豊富なサイバーセキュリティ専門家の不足が、修正対応の遅延を招く要因となっています。」

一方で、独立系研究者としての立場から、「インドのサイバーセキュリティ態勢はここ数年で目に見えて改善されています。より多くの政府機関が責任ある脆弱性開示の価値を認識するようになっており、善意をもって問題を報告した場合に専門的な対応を取る機関も増えてきています」と述べています。

全体として、バールドワジ氏はインドの今後の方向性に楽観的な見方を示しています。「政府機関、産業界、学術界、そしてセキュリティ研究コミュニティが継続的に連携していくことが、強靭で安全な公共デジタルインフラの構築に不可欠です。」

翻訳元: https://www.darkreading.com/vulnerabilities-threats/vulnerabilities-private-data-indian-government-systems

ソース: darkreading.com
#PII #UPSC #アクセス制御 #インド政府 #サイバーセキュリティ #セキュリティ研究者 #個人情報漏洩 #教育ポータル #脆弱性 #脆弱性開示

関連記事

「Djinn」スティーラー、クラウドおよびAI認証情報を標的に

顔認識AIを服で欺けるか?

イラン・ロシア・中国、水道システムへの妨害工作を継続