世界を動かす技術を、日本語で。

マスアサインメント脆弱性がマックス・フェルスタッペンのパスポートとF1ドライバーの個人情報を暴露

2025年10月23日原文(ian.sh)

概要

  • Formula 1 関連イベントで発見された脆弱性の調査事例
  • FIA driver categorisation サイトにおける重大な権限昇格の問題
  • HTTP PUTリクエスト による管理者権限の不正取得
  • 個人情報や機密情報 への広範なアクセス可能性
  • 発見から対応・公開までの経緯 を時系列で整理

F1イベントとサイバーセキュリティの関係

  • 近年のセキュリティスタートアップ の資金調達増加
  • CrowdStrikeDarktrace などがF1チームスポンサー
  • Bitdefender は公式サイバーセキュリティパートナー契約
  • Formula 1 Grand Prix を中心とした大規模ネットワーキングイベント
  • サイバーセキュリティ業界関係者 のイベント参加体験

FIA Driver Categorisationポータルの概要

  • FIA Super Licence 取得がF1参戦の必須条件
  • Bronze/Silver/Gold/Platinum によるドライバーカテゴリ分け
  • drivercategorisation.fia.com で自己登録・情報更新が可能
  • Super Licence保持者 は自動的にPlatinum認定
  • 申請時には身分証やレース履歴などの書類提出が必要

脆弱性の発見と検証

  • HTTP PUTリクエスト でプロフィール更新を実施
  • JSONレスポンス にrolesパラメータを発見
  • JavaScript解析 で複数のロール存在を確認
  • rolesパラメータ をADMINに書き換えたリクエストを試行
  • 管理者権限の取得 に成功、管理用ダッシュボードへアクセス可能

取得できた情報とリスク

  • ドライバーのパスワードハッシュ、メールアドレス、電話番号 などの個人情報
  • パスポート、履歴書、ライセンス情報 へのアクセス
  • 内部コミュニケーションや委員会決定内容 の閲覧
  • Max Verstappen を含む全F1ドライバーの情報参照が可能
  • 重大な個人情報漏洩リスク、ただし実際の閲覧・保存は行わず速やかに削除

脆弱性発見から公開までの対応経緯

  • 2025年6月3日 :FIAへ初回報告(メール・LinkedIn経由)
  • 2025年6月3日 :FIAより初動対応、該当サイトをオフライン化
  • 2025年6月10日 :FIAより包括的な修正完了の連絡
  • 2025年10月22日 :本ブログ記事の公開、情報開示

まとめ

  • F1関連サイト における権限管理の重要性
  • セキュリティテストの必要性 と責任ある情報開示の実践
  • 業界全体への注意喚起 と今後の教訓

Hackerたちの意見

興味本位で聞きたいんだけど、こういう調査をしてて、明確なバグバウンティプログラムがない場合に法的な脅威とかあったりする?それとも、プログラムがないときに報告してバウンティをもらったこととかある?

大学にいた頃、脆弱性を報告したら、会社から法的措置を取るぞって脅されたんだ。そしたら教授が強い口調のメールを書いてくれて、結局その件はなくなった。それ以来8年間、そんなことはなかったな。今は多くの企業が私たちのやってることを理解してる気がする。少なくとも10年前よりはね。

実際の法的脅威は珍しいけど、いくつかの企業が、公開しない代わりに過去のバグバウンティプログラムを装った賄賂を提案してくるのを見たことがある。もちろん、そういうのは断るのが大事だよね。

彼らがブログ記事で説明していたような調査、特に権限を管理者に引き上げようとする試みは、法律的に微妙だと思う。普通、こういうことは正式に合意された「レッドチーミング」や「ペネトレーションテスト」の一環として行われるもので、法的責任を避けるために必要なガイドラインを確立するためなんだ。事後にアクセスを「倫理的」と呼ぶだけじゃ不十分だよ。

まあ、少なくともパスワードハッシュだったね :D

あまり期待しない方がいいよ。どんなハッシュかは言ってないし、サイトの他のセキュリティ設計を考えると、簡単にソルトなしのMD5だった可能性もあるし。

また新たなrockyouが待ってるかもしれないね。

変だね、サイトはイアン・キャロルが運営してるけど、例に出てるのはサム・カリーで、彼は超有名なバグバウンティハンターだよね。

彼の他の投稿を見ると、よくコラボしてるみたいだね。

投稿から: 「航空会社のマイルを貯めて、特定のサイバーセキュリティベンダーと仲良くなったおかげで、Gal Nagli、Sam Curry、そして私は、フォーミュラ1のイベントのサポートサイトをハッキングしてみるのが面白いだろうと思った。」

それは恥ずかしいくらいセキュリティが甘いね。

パーティの映像を見るまで待っててね。

Hacker Newsで議論の続きを見る