英国会社登記所は最近、WebFilingサービスの重大なセキュリティ脆弱性を公開しました。この脆弱性により取締役の機密情報が数ヶ月間にわたって露出していました。
最高経営責任者のアンディ・キング氏は、この欠陥が2025年10月のシステム更新時に最初に導入されたことを確認しました。
この脆弱性により、認証されたユーザーが他の企業のプライベート情報を同意なく閲覧および変更できる可能性がありました。
この重大な問題が2026年3月13日に発見されると、当局は直ちにオンラインポータルをオフラインにしてさらなる露出を防ぎました。
週末の独立したセキュリティテストとシステム修復を経て、プラットフォームは3月16日に安全に復旧されてオンラインに戻されました。
認可バイパスとデータ露出
セキュリティ欠陥は深刻な認可バイパスとして機能していましたが、幸いなことにインターネット上の公開サイトからはアクセスできませんでした。
この欠陥を悪用するには、攻撃者は有効な認証コードを持つ登録ユーザーである必要があり、ポータルにログインした後、プライベート企業記録への不正アクセスを得るために特定の一連のアクションを実行する必要がありました。
アクセス制御のこの失敗により、正確な生年月日、住所、企業メールアドレスなどの機密個人データが、ログインしている他のユーザーに表示されていました。
単なるデータ露出を超えて、この脆弱性はまた、悪い行為者が取締役会の不正な変更や改ざんされた財務帳簿を含む、詐欺的な公式申し立てを潜在的に提出することを許可していました。
このような深刻なデータ露出にもかかわらず、会社登記所の当局は侵害の範囲に関する重要な制限を確認しました。
この脆弱性の設計は、自動的なWebスクレイピングやシステム的な大規模データ抽出を本来的に防いでいました。
不正アクセスは厳密に1度に1つの企業記録を閲覧することに限定されており、広範囲のデータ盗難を実行するのは極めて不実用的でした。
さらに、当局は重要なセキュリティ情報が完全に保護されたままであることを確認しました。ユーザーパスワードは一度も侵害されていません。
スキャンされたパスポート文書などの機密身元確認資料は、影響を受けたシステムから完全に隔離されたままでした。
既に申し立てられた既存の履歴文書もセキュリティ的にロックされており、このエクスプロイトを通じて変更することはできませんでした。
インシデントに対応して、会社登記所は内部調査を開始し、積極的に情報コミッショナー事務所と国家サイバーセキュリティセンターの両方に通知しました。
サイバーセキュリティチームは現在、不正アクセスの確認されたインスタンスを検出するためにシステムログの法医学的分析を実施しています。
当局は登録されたすべての企業住所に連絡して、状況を通知し、明確なガイダンスを提供しています。
ビジネスオーナーは申し立て履歴と登録の詳細を慎重に確認することを強く奨励されています。矛盾が発見された場合、企業は証拠資料を伴う公式の苦情を申し立てる必要があります。
最高経営責任者のアンディ・キング氏は正式な謝罪を発表し、当局はこの脆弱性を悪用する者に対して厳しい法的措置を講じることを公開に保証しました。
当局は、さらなる質問に答え、進行中の調査全体を通じて透明性を保つために、すぐに専用のウェブページを公開することを約束しました。
翻訳元: https://gbhackers.com/webfiling-flaw-at-uk-companies-house-exposed/
