英国の Companies House は、その WebFiling サービスの重大なセキュリティ脆弱性を公開しました。この脆弱性により、機密の企業役員情報がほぼ5ヶ月間露出し、政府のデジタルプラットフォームにおけるアクセス制御の弱さについて深刻な懸念が生じています。
最高経営責任者 Andy King によって確認されたこの問題は、2025年10月に配置されたシステムアップデートに由来し、2026年3月13日まで検出されませんでした。
この欠陥により、WebFiling ポータル内の認証されたユーザーが、他の企業に属するプライベートレコードにアクセスし、許可なく変更する可能性がありました。
発見時に、 Companies House は直ちにサービスをオフラインにしました。週末の緊急修復活動と独立したセキュリティテストの後、プラットフォームは3月16日に安全に復元されました。
その根源では、脆弱性は重大な認可バイパスとして識別されました。認証されていない一般ユーザーにデータを露出させませんでしたが、認証されたユーザー環境内で重大なインサイダースタイルのリスクをもたらしました。
一度内部に入ると、攻撃者は以下を含む機密の企業データを表示できました:
さらに重要なことに、脆弱性はパッシブなデータ露出を超えて拡張されました。悪意のある行為者は以下のような詐欺的な申請を潜在的に提出できました:
この機能は企業のアイデンティティ操作と金融詐欺のリスクをもたらしました。特に Companies House レコードの整合性に大きく依存する組織にとってです。
脆弱性の重大性にもかかわらず、Companies House は大規模な悪用を制限するいくつかの制約を強調しました。
システム設計は自動スクレイピングまたはバルクデータ抽出を防止し、攻撃者は一度に1つの企業のレコードにのみアクセスできることを意味しました。
これらのセーフガードは大規模なデータ漏洩の可能性を減少させましたが、標的型攻撃または選別的なデータ悪用のリスクを排除しませんでした。
発見に続き、Companies House は正式な調査を開始し、主要な規制およびサイバーセキュリティ当局に通知しました。以下を含みます:
サイバーセキュリティチームは現在、システムログを分析して、不正アクセスまたは悪用の証拠を識別しています。
その機関はまた登録済み企業に通知を開始し、疑わしい活動についてレコードをレビューするようアドバイスしています。
最高経営責任者の Andy King は公式な謝罪を発表し、事件の重大性とビジネスへの潜在的な影響を認めました。
彼はまた、脆弱性を悪用しているのが見つかったすべての個人が法的結果に直面するだろうと警告しました。
透明性を維持するために、 Companies House は以下に対処する専用情報ページを立ち上げることを計画しています:
この事件は、特にアクセス制御メカニズムの周辺における、レガシー政府システムの保護における継続的な課題を浮き彫りにしています。
翻訳元: https://cyberpress.org/companies-house-webfiling-bug-exposed-director-data-for-months/