この1年で、サイバーセキュリティの専門家たちは、世界の物流・貨物セクターが驚くほど脆弱であることへの懸念を強めてきた。敵対者はサプライチェーンへの侵入を加速させ、高価な貨物を組織犯罪シンジケートの手に渡るよう迂回させる工作を行っている。これは学術的なデジタル上の小旅行などではなく、現実の強奪である。電子ベイパーを積んだトラック一台分が消えたという報告や、高級ロブスターの出荷が不審に消失したという話が、ますます頻繁に聞かれるようになっている。
こうした荒れた状況のさなか、ニューヨークに拠点を置くサプライチェーン管理 ソフトウェアの開発企業であるBluspark Globalの脆弱性が明るみに出た。同社は一般には知られていないものの、そのBluvoyixプラットフォームは数百社の多国籍企業に利用されており、小売大手、食品スーパー、家具メーカーにとって中枢神経系のような役割を担っている。このポータルには、幅広い商業主体とその物流パートナーに属する、数十年分の機微な輸送データが流れ込んでいる。
しかし、この重要インフラが数か月にわたり、事実上パブリックインターネットに露出したままだったことが明らかになった。2025年末、セキュリティ研究者のEaton Zveareが発見した一連の重大な脆弱性により、認証なしで機密の顧客データへアクセスできる状態になっていた。体系的な不備として、従業員および顧客のパスワードが平文で保存されていたこと、そして資格情報の検証を必要とせずにプラットフォームと遠隔でやり取りできるAPIが存在していたことが挙げられる。
Zveareによれば、最大の難題は欠陥の発見ではなく、それを同社に開示する骨の折れる作業にあった。Blusparkにはセキュリティ連絡のための一貫した窓口がなかった。Maritime Hacking Villageを通じて連絡を試みたほか、複数の書簡やLinkedInでの問い合わせも送ったが、脆弱性が悪用可能なままの状態で、警告は何週間も沈黙に迎えられた。
この膠着状態が破られたのは、ZveareがTechCrunchと協力し、システム侵害の動かぬ証拠として、CEOに対して当該幹部自身のパスワードの一部を提示して連絡したときだった。その後、Blusparkを代理する法律事務所が連絡を開始した。研究者は、ある顧客のウェブサイトを監査する過程で欠陥を見つけていた。そこでは、一見無害なフィードバックフォームがデータをBlusparkのサーバー経由で送信していた。基盤となるコードにより、攻撃者はこの仕組みをフィッシングキャンペーンに悪用したり、APIを操作してユーザーリストを流出させたり、完全にお咎めなしで管理者アカウントを生成したりできる状態だった。
これほど制限のないアクセスがあれば、悪意ある行為者は2007年まで遡る顧客記録を精査できた可能性がある。データ保護を意図したトークン化システムは実質的に存在しないも同然で、サーバーはトークンの有無にかかわらずリクエストを処理していた。法的介入を受けた後、Blusparkは特定された5つの脆弱性すべてを修正したと述べ、包括的なセキュリティ監査のために第三者企業を起用したとも示した。同社は不正な悪用の証拠は見つからなかったと主張しているが、その主張を裏付ける詳細な証拠は提示されていない。
Blusparkは、今後のセキュリティ連絡を円滑化するため、責任ある開示プログラム(Responsible Disclosure Program)を立ち上げると約束したが、この取り組みはまだ初期段階にある。CEOはこれ以上のコメントを控えている。Blusparkの一件は、初歩的な技術的見落としと組織的コミュニケーションの不全が交差するところに潜む危険を、痛切に示す事例である。サイバー侵入が物理的な窃盗や深刻な金銭的損失として現れる時代において、こうした脆弱性は組織犯罪にとって強力な道具となり得る。
