セキュリティホールからハッカー攻撃 頭を悩ます担当者(1) | ScanNetSecurity
2021.03.05(金)

セキュリティホールからハッカー攻撃 頭を悩ます担当者(1)

●認証システムがなく、誰でも税務書類の閲覧可能

特集 特集
●認証システムがなく、誰でも税務書類の閲覧可能

2005年2月19日付けで、オハイオ州でソフトウェア開発を行うThink Computerが、オンラインで給与支払いサービスを行うPayMaxxのシステムのセキュリティに問題があり、2万5000人以上の社会保険番号などの個人情報を漏洩しているとのセキュリティ白書を発表した。

1979年創設のPayMaxxはテネシー州に本社を置く。給与支払処理を中心に、事業主の事務業務を行い、本分野では業界6位、数千件の顧客を抱える企業だ。他の同業者と違い、100%ウェブベースでオペレーションを行い、ハイテク産業のように既に自動経理システムを持つ企業にとって魅力的だとの評判がある。

顧客企業は50州にわたり、13万人の税金手続きに関わる。ウェブベースのオペレーションとは、クライアントサイドで、面倒な給与支払いのソフトを用いなくても、どこからでも給与支払い関連のインプットを行うことができるというものだ。サイトはパスワードで保護されていて、HTTPコネクションも暗号化されているので安全というのが“売り”だった。

さらにPayMaxxの魅力は、処理を行った作業のアウトプットが容易だという点だ。ウェブベースのシステムなので、米国の税務書類IRS W2フォームが、いつ、どこででも印刷できる。アドビのPDFファイルを用いたシステムであるためだ。

皮肉なことにThink Computerが発見したセキュリティホールはこのアウトプットに関するものだ。入力時の認証などは非常に細心の注意を払って構築されているが、W2フォームのほうは少し手薄だったという。

PayMaxxを利用していたThink Computerの取締役、グリーンスパンは、顧客の従業員への、オンラインで2004年のW2フォームが利用できるとの通知を受け取った。その中で、各従業員のコードがハイパーリンクされていた。調べてみたところ、コードを少し変えることで、自宅住所、給与支給総額、社会保険番号など他人の個人情報を閲覧、そして印刷できたというものだ。

PayMaxxでは各従業員のデータを順番に表に保存していた。そのため、会社でインプットを担当するなどの利用でPayMaxxのシステムを知っている人なら、IDコードの数字を変えると別の人のデータを見ることができると予測できたという。例えば従業員Aが、自分のデータは000-00-0000+従業員コードであるPIN000000、つまり000-00-0000+000000だとの通知を受けているとする。Aは他にも000-00-0000+PIN000001というように、他の従業員のデータを閲覧するためのコードを割り出すことが可能だった。コードからは、PDFフォーマットでのW2フォームの印刷が可能で、当然、W2には様々な重要な個人情報が記載されてあった。グリーンスパンはサイトにサインインして情報をリクエストする人が、本当に閲覧する権利があるか、アクセスする権利があるか確認出来るようにプログラムしているべきだったと主張する。

【執筆:バンクーバー新報 西川桂子】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×