ハクソク

世界を動かす技術を、日本語で。

マスアサインメント脆弱性がマックス・フェルスタッペンのパスポートとF1ドライバーの個人情報を暴露

215日前原文(ian.sh)

概要

  • Formula 1 関連イベントで発見された脆弱性の調査事例
  • FIA driver categorisation サイトにおける重大な権限昇格の問題
  • HTTP PUTリクエスト による管理者権限の不正取得
  • 個人情報や機密情報 への広範なアクセス可能性
  • 発見から対応・公開までの経緯 を時系列で整理

F1イベントとサイバーセキュリティの関係

  • 近年のセキュリティスタートアップ の資金調達増加
  • CrowdStrikeDarktrace などがF1チームスポンサー
  • Bitdefender は公式サイバーセキュリティパートナー契約
  • Formula 1 Grand Prix を中心とした大規模ネットワーキングイベント
  • サイバーセキュリティ業界関係者 のイベント参加体験

FIA Driver Categorisationポータルの概要

  • FIA Super Licence 取得がF1参戦の必須条件
  • Bronze/Silver/Gold/Platinum によるドライバーカテゴリ分け
  • drivercategorisation.fia.com で自己登録・情報更新が可能
  • Super Licence保持者 は自動的にPlatinum認定
  • 申請時には身分証やレース履歴などの書類提出が必要

脆弱性の発見と検証

  • HTTP PUTリクエスト でプロフィール更新を実施
  • JSONレスポンス にrolesパラメータを発見
  • JavaScript解析 で複数のロール存在を確認
  • rolesパラメータ をADMINに書き換えたリクエストを試行
  • 管理者権限の取得 に成功、管理用ダッシュボードへアクセス可能

取得できた情報とリスク

  • ドライバーのパスワードハッシュ、メールアドレス、電話番号 などの個人情報
  • パスポート、履歴書、ライセンス情報 へのアクセス
  • 内部コミュニケーションや委員会決定内容 の閲覧
  • Max Verstappen を含む全F1ドライバーの情報参照が可能
  • 重大な個人情報漏洩リスク、ただし実際の閲覧・保存は行わず速やかに削除

脆弱性発見から公開までの対応経緯

  • 2025年6月3日 :FIAへ初回報告(メール・LinkedIn経由)
  • 2025年6月3日 :FIAより初動対応、該当サイトをオフライン化
  • 2025年6月10日 :FIAより包括的な修正完了の連絡
  • 2025年10月22日 :本ブログ記事の公開、情報開示

まとめ

  • F1関連サイト における権限管理の重要性
  • セキュリティテストの必要性 と責任ある情報開示の実践
  • 業界全体への注意喚起 と今後の教訓

Hackerたちの意見

興味本位で聞きたいんだけど、こういう調査をしてて、明確なバグバウンティプログラムがない場合に法的な脅威とかあったりする?それとも、プログラムがないときに報告してバウンティをもらったこととかある?

大学にいた頃、脆弱性を報告したら、会社から法的措置を取るぞって脅されたんだ。そしたら教授が強い口調のメールを書いてくれて、結局その件はなくなった。それ以来8年間、そんなことはなかったな。今は多くの企業が私たちのやってることを理解してる気がする。少なくとも10年前よりはね。

実際の法的脅威は珍しいけど、いくつかの企業が、公開しない代わりに過去のバグバウンティプログラムを装った賄賂を提案してくるのを見たことがある。もちろん、そういうのは断るのが大事だよね。

彼らがブログ記事で説明していたような調査、特に権限を管理者に引き上げようとする試みは、法律的に微妙だと思う。普通、こういうことは正式に合意された「レッドチーミング」や「ペネトレーションテスト」の一環として行われるもので、法的責任を避けるために必要なガイドラインを確立するためなんだ。事後にアクセスを「倫理的」と呼ぶだけじゃ不十分だよ。

まあ、少なくともパスワードハッシュだったね :D

あまり期待しない方がいいよ。どんなハッシュかは言ってないし、サイトの他のセキュリティ設計を考えると、簡単にソルトなしのMD5だった可能性もあるし。

また新たなrockyouが待ってるかもしれないね。

変だね、サイトはイアン・キャロルが運営してるけど、例に出てるのはサム・カリーで、彼は超有名なバグバウンティハンターだよね。

彼の他の投稿を見ると、よくコラボしてるみたいだね。

投稿から: 「航空会社のマイルを貯めて、特定のサイバーセキュリティベンダーと仲良くなったおかげで、Gal Nagli、Sam Curry、そして私は、フォーミュラ1のイベントのサポートサイトをハッキングしてみるのが面白いだろうと思った。」

それは恥ずかしいくらいセキュリティが甘いね。

パーティの映像を見るまで待っててね。

セキュリティって言うのも難しいくらい、ただオープンすぎたよね…でも、こういうのは私のインポスター症候群には効果抜群なんだよね。

サイトを作るならフレームワークを使いなよ。わざわざ車輪を再発明する必要ないから!

この意見にはちょっと反対かな。一般的に言って、車輪を再発明するのは、車輪の仕組みを理解するための素晴らしい学びの機会だと思う。

「サイトを作るならフレームワークを使え。車輪を再発明するな!」って、APIのアクセス制御の脆弱性についての記事を読んでどうしてそんな結論に至ったの?

フレームワークが一括で対処できる脆弱性もあるけど(CSRFやXSSみたいに)、ちゃんとしたやり方を守っていればの話ね。でも、APIに認証を組み込むのを完全に失敗したら、どうしようもないよね。シートベルトが命を救うけど、自分がポールに突っ込む選択をしたら止められないのと同じ。

古臭い会社には古臭いセキュリティがあるね。RDはよくやったけど、全然驚かないよ。ハッシュがMD5だったって賭けてもいいくらい。

どのハッシュ使ってる?

これはF1のレースサイトだから、彼らの仕事は速く動いて壊すことなんだよね。 https://xkcd.com/1428/

イアン、もしRSSフィードをウェブサイトに追加したら、もう一人の定期的な読者が増えるかもね :)

イアンは素晴らしいライターだよね。

これに賛成!

それは単なる一つの脆弱性じゃなくて、たくさんの失敗だよ。例えば、応募者がその書類を使った後は、ライブサーバーに残しておく必要なんて全くないよね。影響範囲を減らすためにも。これで少なくとも一生分の無料チケットをもらえたらいいけど。

ルール1. ユーザーが提供したデータは絶対に信用しないこと。これを破った時点で、他のルールを破ったこともみんなに明らかになったね。

作者たちにF1のスーパライセンスを与えて、実際に車を運転するチャンスを与えるべきだったのに、もったいない!