SCAN DISPATCH : 素人に突破された役所のセキュリティ | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.20(金)

SCAN DISPATCH : 素人に突破された役所のセキュリティ

国際 海外情報

SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

「『サルでもできるSQL』を飛ばし読みした程度の素人でさえ、簡単に個人情報にアクセスできる。それだけでなく、個人情報の改変さえできた」と、州役所の情報漏洩を指摘して有名になったブログがある。そのブログによると、Oklahpma のDepartment of Corrections (オクラホマ州矯正管区)のウエブページが、犯罪者の個人情報だけでなく、職員の情報も簡単に漏洩できるまま3年間も放置されていたのだ。

この発見を報告したのは『The Daily WTF』( http://thedailywtf.com/ )という、Alex Papadimoulis(アレックス・パパディモウリス)が管理する"Curious Perversions in Information Technology"(情報技術の面白いゆがみ)を発信するブログだ。

ブログの読者が持ち込んだネタをもとに、アレックスが発見した情報漏洩は、オクラホマ州のSexual and Violent Offender Registry(性的犯罪者リスト)のウエブページ。アメリカでは、性的犯罪で逮捕された人は、その後一生、現住所を市町村役所に報告しなければならない。報告された住所と名前は、このSexual and Violent Offender Registryに登録され、一般市民がこの情報を元に、近くに性的犯罪者が住んでいるかどうかをチェックできるようになっている。市によっては、性的犯罪者が引っ越ししてきた場合、近辺の住民にその旨を手紙で知らせるところもある。オクラホマではこのSexual and Violent Offender Registryだけでなく、ありとあらゆる前科者がサーチで探せるようになっている(*1)。

アレックスがサーチ結果のページにある「印刷用ページ」のリンクを見てみると、URLは以下の通りだった。

http://docapp8.doc.state.ok.us/pls/portal30/url/page/sor_roster?sqlStr
ing=select distinct
o.offender_id,doc_number,o.social_security_number,o.date_of_birth,o.fi
rst_name,o.middle_name,o.last_name,o.sir_name,sor_data.getCD(race)
race,sor_data.getCD(sex) sex,l.address1 address,l.city,l.state
stateid,l.zip,l.county,sor_data.getCD(l.state) state,l.country
countryid,sor_data.getCD(l.country)
country,decode(habitual,'Y','habitual','')
habitual,decode(aggravated,'Y','aggravated','')
aggravated,l.status,x.status,x.registration_date,x.end_registration_da
te,l.jurisdiction from registration_offender_xref x, sor_last_locn_v
lastLocn, sor_offender o, sor_location l , (select distinct
offender_id from sor_location where status = 'Verified' and
upper(zip) = '73064' ) h where lastLocn.offender_id(%2B) =
o.offender_id and l.location_id(%2B) = lastLocn.location_id and
x.offender_id = o.offender_id and x.status not in ('Merged') and
x.REG_TYPE_ID = 1 and nvl(x.admin_validated,to_date(1,'J')) >=
nvl(x.entry_date,to_date(1,'J')) and x.status = 'Active' and x.status
<> 'Deleted' and h.offender_id = o.offender_id order by
o.last_name,o.first_name,o.middle_name&sr=yes


お分かりだろう。このURLのリンクは、ずばりページのデータを返すデータベース・クエリそのものを含んでいる。このクエリには、social_security_number(国民保障番号)や、date_of_birth(生年月日)などのコラムも含んでいる。そこでアレックスはこのクエリを改変して新たなURLをつくり、そのURLを入力して10,597人もの、国民保障番号、生年月日、現住所を含むデータを出力させることができた。

アレックスは即座に担当者を見つけ出してこれを報告する。そして次の日にはこのウエブページは「メンテナンス中」となっていたため、アレックスは問題は解決したと思った。

が、一度ページがオンラインになり、アレックスがもういちどチェックをしてみると、social_security_numberと入力しても国民保障番号は返ってこなかったのだが、Social_security_numberと文頭を大文字にしたものを入力してみれば、なんと、きちんと国民保障番号が検索結果に返ってきたのだ。

アレックスは「あきれ返った」と言っているが、当然だろう。性的犯罪者とは言うものの、アメリカでは例えば、自分のヌード写真を撮ってそれをソーシャルサイトなどに掲載した未成年や、公共の場で放尿した者も性的犯罪者となってしまうし、17歳未満のガールフレンドと性的行為を持った17歳の男子が、性的犯罪者の烙印を一生押されてしまったような例もある。また、性的犯罪者の住所・氏名などをこのSVORから手に入れて、性的犯罪者を専門にアイデンティティ犯罪を行っているものがいることも報告されている。

そこでアレックスは…

【執筆:米国 笠原利香】

【関連リンク】
(*1)
http://docapp065p.doc.state.ok.us/servlet/page?_pageid=395&_dad=portal30&_schema=PORTAL30

──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました

購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

    搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

  2. セキュリティ人材の慢性不足、海外の取り組みは(The Register)

    セキュリティ人材の慢性不足、海外の取り組みは(The Register)

  3. SMSによる二要素認証が招くSOS(The Register)

    SMSによる二要素認証が招くSOS(The Register)

  4. フィッシング詐欺支援サービスの価格表(The Register)

  5. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  6. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  7. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  8. Mac OS X のシングルユーザモードの root アクセス(2)

  9. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  10. Cisco のセキュリティビジネスに市場が多大な関心を寄せる理由(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×