UK Companies HouseのWebFilingサービスで重大なセキュリティ脆弱性が発見
英国のCompanies Houseは、最近、WebFilingサービスで重大なセキュリティ脆弱性が存在し、数ヶ月間にわたり取締役の個人情報が漏洩していたことを発表しました。
CEOのアンドリュー・キングは、この脆弱性が2025年10月のシステム更新中に導入されたものであると確認しました。この脆弱性は、認証されたユーザーが他の企業の個人情報を無断で閲覧または変更する可能性を秘めていました。
この深刻な問題が3月13日に発見された後、同機関は直ちにオンラインポータルをオフラインにし、さらなる情報漏洩を防ぐために対策を講じました。週末に独立したセキュリティテストとシステムの修正が行われ、3月16日に安全に復旧し、再びオンラインに戻されました。
認証バイパスとデータ漏洩
このセキュリティ欠陥は、深刻な認証バイパス機能を果たしていましたが、幸いにも一般公開インターネット上ではアクセス不可能でした。この脆弱性を悪用するには、システムに登録されたユーザーで、有効な認証コードを持つユーザーが必要でした。ログイン後、特定のアクションのシーケンスを実行することで、他のログインユーザーの個人情報に無断でアクセスすることが可能でした。
このアクセス制御の欠如により、正確な生年月日、居住地、および企業メールアドレスなどの機密情報が他のログインユーザーに表示される可能性がありました。さらに、悪意のあるユーザーは、無効な取締役の変更や偽造された財務記録の提出など、不正な公式記録を提出する可能性がありました。
このデータ漏洩の深刻さにもかかわらず、Companies Houseの公式は、この脆弱性の範囲に関する重要な制限を確認しました。この脆弱性の設計は、自動ウェブスクレイピングや大規模なデータ抽出を可能にするものではありませんでした。不正なアクセスは、個々の企業レコードを一覧表示するものに限定されており、大規模なデータ窃盗は非常に実行不可能でした。
また、ユーザーのパスワードはいつでも安全に保護されており、パスポートなどの身元確認資料も完全に隔離されていました。既存の歴史的な文書も安全にロックされており、この脆弱性を通じて変更することは不可能でした。
調査と対応
この事態に対応して、Companies Houseは内部調査を開始し、情報委員会と国家サイバーセキュリティセンターにプロアクティブに通知しました。サイバーセキュリティチームは現在、システムログの法医学的な分析を行い、不正なアクセスの事例を検出しています。
同機関は、すべての登録企業に連絡し、状況を知らせ、明確なガイダンスを提供しています。企業所有者は、記録の履歴と登録情報を慎重に確認することを強く推奨されています。不整合が見つかった場合、企業は証拠を提出して公式に申し立てを行うべきです。
CEOのアンドリュー・キングは、公衆に対して公式の謝罪を行い、この脆弱性を悪用した人物に対して法的措置を講じることを保証しました。また、同機関は、今後も調査が進行する中で、さらなる質問に答えるための専用ウェブページを近日中に公開すると約束しました。
元記事: https://gbhackers.com/webfiling-flaw-at-uk-companies-house-exposed/