はじめに
米国およびカナダの複数の州で利用されている陪審員管理ウェブサイトに、機密性の高い個人情報が容易に漏洩する可能性のある単純なセキュリティ上の欠陥が発見されたことがTechCrunchの独占取材で明らかになりました。
この脆弱性は、政府向けソフトウェアベンダーであるTyler Technologies社が開発したシステムで確認され、カリフォルニア、イリノイ、ミシガン、ネバダ、オハイオ、ペンシルベニア、テキサス、バージニア州を含む少なくとも十数か所のサイトが影響を受けるとみられています。
脆弱性の詳細
今回の脆弱性は、陪審員がサービスにログインするために提供される一意の数値識別子が順次増加する形式であったことと、ログインページに大量の推測(ブルートフォース攻撃)を防ぐレート制限メカニズムがなかったことに起因します。
これにより、攻撃者は陪審員の識別子を推測し、そのポータルにログインすることで、以下の広範な個人情報にアクセスできる状態でした。
- 氏名、生年月日、職業、電子メールアドレス、携帯電話番号、住所(自宅および郵送先)
- 陪審員資格審査用の質問票に含まれる情報:性別、民族性、学歴、雇用主、婚姻状況、子供の有無、市民権の有無、18歳以上であるか、窃盗罪や重罪での有罪判決や起訴歴の有無
- 場合によっては、健康上の理由で免除を申請した陪審員の医療情報
TechCrunchが確認したテキサス州のある郡の陪審管理ポータルでは、これらの情報が実際に閲覧可能であったと報告されています。
Tyler Technologiesの対応
TechCrunchが11月5日にTyler Technologies社に問題を通知したところ、同社は11月25日に脆弱性を認めました。
同社の広報担当者Karen Shields氏は、「一部の陪審員情報がブルートフォース攻撃によってアクセスされ得る脆弱性が存在することを弊社のセキュリティチームが確認した」と声明で述べ、「不正アクセスを防止するための対策を開発し、お客様と次のステップについて連絡を取っている」としました。しかし、同社は、悪意のあるアクセスがあったかどうかを技術的に判断する手段があるか、またはデータが漏洩した可能性のある人々に通知する計画があるか、といった追加の質問には回答しませんでした。
過去の事例と背景
Tyler Technologies社が機密性の高い個人情報をインターネット上に露出させたのは今回が初めてではありません。2023年には、同社の別のセキュリティ上の欠陥により、米国のオンライン裁判記録システムで、証人リスト、証言、精神衛生評価、虐待の詳細な申し立て、企業秘密といった封印され、機密扱いのデータが公開された事例があります。
この際、Tyler社はジョージア州全域で使用されていた「Case Management System Plus」製品の脆弱性を修正しました。また、この事例では、Catalis社の「CMS360」製品やHenschen & Associates社の「CaseLook」など、他の政府技術プロバイダーも同様のデータ露出問題を起こしていました。
ITニュースとしての重要性
今回の件は、政府機関が利用するITシステムのセキュリティの重要性を改めて浮き彫りにしました。特に、個人識別子の安易な設計や、ブルートフォース攻撃に対する基本的な防御策(レート制限)の欠如は、ITセキュリティのベストプラクティスが十分に適用されていないことを示唆しています。市民の機密データ保護は最優先事項であり、政府向けITベンダーにはより厳格なセキュリティ対策と透明性が求められます。