はじめに:インド所得税ポータルで大規模データ露呈
インド政府の税務当局が運営する所得税申告ポータルで、納税者の機密データが露呈するセキュリティ上の欠陥が修正されたことが明らかになりました。この脆弱性は、ログイン中のユーザーが他の納税者の個人情報や財務情報にアクセスできるというもので、大規模なデータ漏洩につながる可能性がありました。
脆弱性の詳細:IDORの脅威
この欠陥は、セキュリティ研究者のAkshay CS氏と「Viral」氏によって9月に発見されました。彼らが所得税申告中に発見したこの脆弱性は、「不適切な直接オブジェクト参照(IDOR)」と呼ばれる一般的なタイプのものでした。ログインしたユーザーが、ネットワークリクエスト内の自身のPAN(永続口座番号)を他のPANに置き換えるだけで、他人の機密データにアクセスできてしまうというものです。
露呈したデータには以下のものが含まれます。
- 氏名
- 自宅住所
- メールアドレス
- 生年月日
- 電話番号
- 銀行口座の詳細
- 政府発行の固有識別子であるAadhaar番号
さらに、このバグは個人だけでなく、e-Filingポータルに登録されている企業のデータも露呈させていたとのことです。研究者らはこの脆弱性を「極めて初歩的だが、非常に深刻な結果をもたらすもの」と評しています。
発見と対応:迅速な修正
研究者らは発見後すぐにインドのコンピューター緊急対応チーム(CERT-In)にこのセキュリティ欠陥を報告しました。TechCrunchの取材に対し、CERT-Inは所得税部門がすでに脆弱性の修正に取り組んでいることを確認しました。そして、10月2日までにこの脆弱性は修正され、悪用される可能性はなくなりました。TechCrunchは、研究者の協力を得て自身の記録を検索することで、データ露呈の事実を確認しています。
影響と未解明な点
この脆弱性がどのくらいの期間存在していたのか、また悪意のある第三者によってデータが実際にアクセスされたのかは不明です。所得税部門のポータルには1億3500万人以上の登録ユーザーがおり、2024-25会計年度には7600万人以上が所得税申告を行っています。この大規模なユーザーベースを考慮すると、潜在的な影響は甚大であった可能性があります。当局は、この件に関するさらなる詳細を明らかにしていません。