はじめに
米国の議員らが、ナンバープレート読み取りカメラを運用するFlock Safetyに対し、サイバーセキュリティ保護の不備を理由に連邦取引委員会(FTC)に調査を要請しました。この要請は、同社のカメラネットワークがハッカーやスパイに晒される可能性があるという懸念に基づいています。
多要素認証(MFA)の強制化不足が問題に
ロン・ワイデン上院議員(民主党・オレゴン州)とラジャ・クリシュナムールティ下院議員(民主党・イリノイ州)は、FTCのアンドリュー・ファーガソン委員長に対し、Flock Safetyが多要素認証(MFA)の使用を強制していない理由を調査するよう求めました。MFAは、パスワードを知っている悪意のある第三者による不正アクセスを防ぐ重要なセキュリティ対策です。議員らは、Flockが法執行機関の顧客にMFAを有効にする機能を提供しているものの、「Flockはそれを義務付けていない」と指摘し、同社が10月に議会に確認したと述べています。
広範なデータへのアクセスリスク
議員らによると、ハッカーや外国のスパイが法執行機関ユーザーのパスワードを入手した場合、「Flockのウェブサイトの法執行機関専用エリアにアクセスし、納税者の資金で設置されたカメラによって収集された何十億ものアメリカ人のナンバープレート写真を検索できる」と警告しています。Flock Safetyは、米国で最大規模のカメラおよびナンバープレートリーダーネットワークの一つを運営しており、5,000以上の警察署や民間企業にサービスを提供しています。
過去の侵害とFlock Safetyの対応
議員らは、情報窃取型マルウェアによって盗まれたユーザー名とパスワードを特定するサイバーセキュリティ企業Hudson Rockのデータや、ロシアのサイバー犯罪フォーラムでFlockのログイン情報が販売されているスクリーンショットを引用し、一部の法執行機関顧客のログイン情報が過去に盗まれ、オンラインで共有されていた証拠を発見したと述べています。Flock SafetyはTechCrunchに対し、2024年11月から新規顧客向けにMFAをデフォルトで有効にしたと回答しました。また、現在までに法執行機関顧客の97%がMFAを有効にしているとのことです。しかし、これは約3%の顧客(数十の法執行機関に相当する可能性)がMFAを有効にしていないことを意味します。
残されたセキュリティ上の課題
Flock Safetyの最高法務責任者であるダン・ヘイリー氏は、MFAを有効にしていない顧客は「彼ら固有の理由」を挙げていると説明しましたが、同社は残りの顧客の具体的な数や、MFAを義務付けない理由については明らかにしていません。過去には、米麻薬取締局(DEA)が、地元の警察官のパスワードを使用して、その警察官の知識なしにFlockのカメラにアクセスし、「移民法違反」の容疑者を捜索した事例も報告されています。この事件を受けて、パロスハイツ警察署は多要素認証を有効にしました。