- セキュリティ研究者が最近、FIAのウェブサイトに深刻なバグを発見
- この脆弱性により、ドライバーの個人情報にアクセス可能だった
- 現時点では、犯罪者がこのデータにアクセスした形跡はない
F1ではサイバーセキュリティに数百万ドルが投じられていますが、それでもドライバーたちの個人情報が漏洩するのを防ぐことはできませんでした。
実際、セキュリティ研究者のIan Carroll氏、Gal Nagli氏、Sam Curry氏は、スポーツの統括団体であるFIAのウェブサイトをハッキングできたと主張しており、すべてのドライバーのパスポート、ライセンス、個人情報(PII)にアクセスできたとしています。
幸いにも、このFIAの脆弱性が悪意ある第三者に利用された証拠はなく、すでに修正されていますが、ターゲットにならないと考えているニッチなサードパーティサイトにも強い警鐘を鳴らす出来事となりました。
どのようにして行われたのか?
この情報漏洩は、FIAのドライバー分類ウェブサイトを通じて発生しました。ここではドライバーがFIAスーパーライセンスを申請できますが、これはスポーツに参加し続けるために毎年更新が必要なものです。
このポータルは公開されており、誰でも申請できるため、研究者たちは自分自身のFIAライセンスアカウントを作成し、自分の情報を更新・編集することができました。しかし、プロフィールを更新した際、サーバーが入力した以上の情報を返してくることに気付きました。
例えば、名前やメールアドレスを編集すると、サーバーは名前、メールアドレス、生年月日、さらに重要なことに「役割(role)」も返してきました。「役割」とは、アクセス権限(ドライバー、FIAスタッフ、管理者)を指します。
このため、驚くほど単純な「マスアサインメント」APIの脆弱性を利用し、研究者たちは自分のアクセス権限を「管理者(admin)」に変更し、アクセスを獲得したのです。
ご想像の通り、管理者権限を得たことで、彼らはあらゆる情報にアクセスできました。これにはすべてのF1ドライバーの申請書類や、アップロードされたパスポートや個人連絡先情報などの書類も含まれており、ライセンスに関するFIA内部のやり取りまで閲覧できたのです。
「FIAは夏の間にFIAドライバー分類ウェブサイトに関するサイバーインシデントを認識しました」と広報担当者はTechRadar Proに語りました。
「直ちにドライバーのデータを保護する措置が取られ、FIAはこの問題をFIAの義務に従い、該当するデータ保護当局に報告しました。また、この問題の影響を受けた少数のドライバーにも通知済みです。他のFIAのデジタルプラットフォームには影響はありませんでした。」
「FIAはデジタル領域全体でサイバーセキュリティとレジリエンス対策に多大な投資を行っています。すべての関係者を保護するため、世界最高水準のデータセキュリティ対策を講じており、新たなデジタル施策にはセキュリティ・バイ・デザインの方針を実施しています。」
F1ではデータセキュリティが最優先事項です。ほとんどのチームが公式なサイバーセキュリティパートナーシップを結んでおり、例えばウィリアムズとKeeper Security、Bitdefenderとフェラーリ、そして1Passwordとレッドブルなどがあり、ベンダーやパートナーシップ、あるいは今回のような統括団体のウェブサイトに弱点があれば、誰も安全ではないことを示しています。
