連邦、州、地方の政府機関は、目に見える場所に隠れた重大な脆弱性に直面しています。それは、市民データを安全でない経路で収集する古いウェブフォームです。機関が境界セキュリティや脅威検知に投資する一方で、多くは現代的な暗号化、認証、コンプライアンス機能を備えていない何年も前に構築されたレガシーフォームを使い続けています。これらの老朽化したシステムは、社会保障番号、財務記録、健康情報、セキュリティクリアランスデータなどを、現行の連邦セキュリティ基準を満たせない技術で収集しています。
この問題の規模は非常に大きいです。政府機関はIT予算の80%をレガシーシステムの維持に充てており、最新化の取り組みを阻害しながら古い技術に資金を注いでいます。連邦政府の最も重要な10のレガシーシステム(8年から51年の歴史がある)は、運用と維持に年間3億3700万ドルかかっており、2030年までにレガシーシステムへの総支出は24億ドルに達すると見込まれています。一方、政府のデータ漏洩は米国で1件あたり平均1022万ドルのコストがかかっており、これは世界で最も高い水準です。
解決しないHTTPSの問題
2015年の連邦命令で全ての政府ウェブサイトにHTTPSを標準とすることが定められたにもかかわらず、実装のギャップは依然として存在します。暗号化されていないHTTPプロトコルは、データを傍受、改ざん、なりすまし攻撃にさらします。ネットワーク上にいる攻撃者は、平文で送信される社会保障番号、運転免許証番号、金融口座番号、ログイン認証情報を読み取ることができます。中間者攻撃者は、送信中のフォームデータを検知されずに改ざんできます。
最近の連邦セキュリティ評価では、継続的な課題が明らかになっています。保健福祉省の情報セキュリティプログラムは、主要なセキュリティ機能(識別、防御、検知、対応、復旧)の成熟度レベルを満たせなかったため、2024年度も「効果なし」と評価され、2023年度と同じ評価となりました。
暗号化を実装しているレガシー政府ウェブフォームも、多くはもはや規制要件を満たさない古いプロトコルを使用しています。古いシステムはSHA-1ハッシュやTLS 1.0に依存しており、既知の攻撃に脆弱であり、NIST、CJIS、HIPAAの要件を満たしていません。HTTP Strict Transport Securityが強制されていない場合、ブラウザは自動的に安全な接続を使用せず、ユーザーは暗号化されていないフォームページにアクセスできてしまいます。
アプリケーション層の脆弱性
伝送のセキュリティだけでなく、レガシーウェブフォームは、現代のプラットフォームが設計段階で対処している基本的なアプリケーション脆弱性にも苦しんでいます。政府ウェブアプリケーションのテストでは、80%以上がSQLインジェクション攻撃に弱いことが判明しています。民間企業が特定された脆弱性の73%を修正するのに対し、政府部門はわずか27%しか修正しておらず、これは全産業セクターで最低です。
SQLインジェクションは、政府ウェブフォームに対する最も危険な攻撃の一つです。データベースクエリの作成にパラメータ化されたクエリではなく文字列連結を使っているレガシーフォームは、深刻な脆弱性を生み出します。この安全でない手法により、攻撃者は悪意のあるSQLコードを挿入し、国民識別情報、免許情報、社会保障番号などの機密データに不正アクセスできる可能性があります。攻撃者はこれらの脆弱性を利用して、ユーザーの身元記録を改ざんまたは削除したり、公式文書を偽造するためにデータを操作したり、市民情報を含むデータベース全体を流出させたりできます。クエリ構築における文字列連結の継続的な使用は、重要な政府システムを重大なリスクにさらしています。
クロスサイトスクリプティング(XSS)は、政府アプリケーションの75%に影響を与えており、他の産業セクターと比較して高い割合です。政府ウェブフォームへのXSS攻撃により、攻撃者はユーザーのブラウザを直接操作し、キーストロークを取得して認証情報やフォームデータを盗み、セッションクッキーを入手して認証済みセッションを乗っ取り、ユーザーを悪意のあるウェブサイトにリダイレクトすることができます。特に政府の医療アプリケーションフォームは脆弱であり、XSSにより偽の処方箋を作成するために医療情報を改ざんすることが可能です。
レガシーフォームはまた、クロスサイトリクエストフォージェリ(CSRF)攻撃に対する保護も欠如しています。CSRFは、認証済みの政府ユーザーに知らないうちに望ましくない操作を実行させる攻撃です。現代の安全なフォームは、各セッションごとに一意で予測不可能なアンチCSRFトークンを実装し、リクエスト処理前にサーバー側で検証しますが、レガシーフォームにはこの保護が全くありません。
コンプライアンスギャップ
連邦機関は、連邦情報セキュリティ近代化法(FISMA)に準拠しなければなりません。これは、アクセス制御、構成管理、識別と認証、システムおよび通信の保護など、NIST SP 800-53のセキュリティコントロールの実装を要求しています。レガシーウェブフォームは、データの転送中および保存時の現代的な暗号化を実装できない、多要素認証機能がない、包括的な監査ログを維持していない、セキュリティパッチのないサポート終了ソフトウェアを使用している、既知の悪用可能な脆弱性が存在するなどの理由でFISMAコンプライアンスに失敗します。
税務管理監察官(TIGTA)は、IRSプラットフォームに不十分な脆弱性スキャンと修正、不十分な構成管理、現代的な保護機能の欠如が見られると指摘しました。IRSサーバー上の重大および高リスクの脆弱性は、修正が数日から数か月遅れており、保護が必要なアプリケーションには適切なセーフガードがありませんでした。
連邦機関がサードパーティのウェブフォームプラットフォームを利用する場合、これらのベンダーが適切なFedRAMP認証を取得していることを確認しなければなりません。FedRAMPは、NIST SP 800-53改訂5のコントロールを含むセキュリティコントロールの遵守、データの機密性に基づく影響レベル認証、暗号化方式とセキュリティ体制の継続的な監視を要求しています。FedRAMP認証のないプラットフォーム、一般消費者向けSaaSツール、適切なセキュリティ評価のないオンプレミスシステムを通じて実装されたレガシー政府ウェブフォームは、非準拠システムの不正使用を意味します。
全米50州には、個人情報が侵害された場合に影響を受けた個人に通知することを義務付けるデータ侵害通知法があります。レガシーウェブフォームは、侵害の検出不能、監査証跡がないため侵害範囲が不明、通知期限の逸失、暗号化状況が不明確で通知免除に影響するなどの理由で、通知違反を引き起こします。
現実世界での伝送失敗
方針と実際の運用のギャップは顕著です。GSA、DoD、DOEの研究所を含む連邦機関は、契約業者に対し、社会保障番号、生年月日、運転免許証番号、犯罪歴、信用情報などを標準の暗号化されていない電子メールで平文PDF添付ファイルとして提出するよう要求しています。契約業者がMicrosoft OMEのような暗号化オプション、パスワード保護ファイル、セキュアリンクなどを提案しても、バッジオフィスは「これが従来のやり方であり、これ以外は受け付けない」と回答します。
ほとんどの連邦機関にはPII提出用の基本的な安全なポータルがなく、DoDやGSAの方針で内部メールシステム外で送信されるPIIは暗号化が必要とされているにもかかわらず、電子メールに頼らざるを得ません。国家安全保障クリアランス用の標準フォーム86やその他の政府フォームは、オフラインで記入可能なPDFとして配布され、暗号化されずに保存・送信されることが可能です。これらには、数百万人の連邦職員や契約業者の完全な身辺調査データが含まれています。
最近の侵害事例は、政府データシステムの脆弱性が継続していることを示しています。米国財務省は、2024年にハッカーがソフトウェアキーの侵害を通じて非機密ネットワークにアクセスし、米国の財務運営に関する内部文書が漏洩しました。今月初めには、議会予算局が外国勢力と疑われる者にハッキングされ、重要な財務調査が流出した可能性があります。従業員の身元調査などを行うテキサス州のDISA Global Solutionsは、2025年2月に大規模なデータ侵害を認め、330万人以上の社会保障番号、財務情報、政府発行の身分証明書が流出し、不正アクセスは検知まで2か月以上続きました。
重要なユースケース
税務フォームは、IRSの多くのアプリケーションが非常に古く、60年以上前のCOBOLやアセンブラーで書かれているため、重大なセキュリティリスクを抱えています。最近の報告によると、IRSのITシステム231件がレガシーシステムであり、重大なセキュリティ脆弱性を抱えています。納税者のPII(社会保障番号、収入情報、銀行情報、税申告書など)を収集するウェブフォームは、これらの脆弱なレガシープラットフォームを通じて送信されています。
州の失業給付システムは、経済的に脆弱な時期に広範なPIIを収集するウェブフォームを使用しています。ワシントン州雇用保障局のシステムの脆弱性には、MFAのない単一要素認証、メール認証に依存した安全でないパスワードリカバリプロセス、同じ社会保障番号で複数のユーザー名を作成できることなどが含まれます。現代的な認証、ボット対策、詐欺検出がないレガシーウェブフォームは、大量の不正申請を可能にします。
今、機関が取るべき行動
政府機関は、すべてのウェブフォームページでHSTSを用いたHTTPS暗号化の即時強制、サーバー側入力検証によるSQLインジェクションおよびXSS攻撃の防止、各フォームセッションごとのアンチCSRFトークンの実装、CAPTCHAやボット対策の追加、包括的なアクセスログの有効化、OWASP Top 10脆弱性に対する定期的な脆弱性スキャンの実施を直ちに行う必要があります。
長期的なセキュリティには、FedRAMP認証済みプラットフォームへのレガシーフォームの置き換えが必要です。これらは、保存データのAES-256暗号化と転送データのTLS 1.3によるエンドツーエンド暗号化、市民と政府職員の両方に対する多要素認証、詳細な権限を持つロールベースアクセス制御、すべてのデータアクセスイベントを記録する包括的な監査証跡、新たな脆弱性に対応する自動セキュリティアップデート、手作業プロセスを排除するデジタルワークフロー自動化を提供します。
機関はまた、複数のフォームを集中管理プラットフォームに統合し、統一されたセキュリティポリシー、一貫したユーザー体験、簡素化されたコンプライアンス管理を実現すべきです。
本当の問題は、政府機関が古いウェブフォームを最新化する余裕があるかどうかではなく、最新化しないことによる結果に耐えられるかどうかです。暗号化されていない送信、SQLインジェクション脆弱性、監査証跡の欠如のすべてが、市民データのリスクと規制違反の蓄積を意味します。連邦の命令は何年も前にセキュリティ基準を定めました。実装はもはや待つことができません。
フランク・バロニスは、Kiteworksの最高情報セキュリティ責任者兼オペレーション&サポート担当上級副社長であり、ITサポートおよびサービス分野で20年以上の経験を有します。
翻訳元: https://cyberscoop.com/government-legacy-web-forms-security-risks/
