サイバーセキュリティ データ流出 Stripe 情報セキュリティ API脆弱性 軍事データ 防衛企業 Schemata

米国防総省と契約を結ぶ防衛技術企業が、不適切な認可チェックが行われたAPIエンドポイントを通じて、軍事訓練教材や隊員情報を露出した可能性があることが明らかになった。

この問題は、Schemataが提供するAI搭載型仮想訓練プラットフォームに影響を及ぼした。同プラットフォームは軍事・防衛分野で活用されている。

露出したデータの内容

セキュリティ研究プロジェクト「Strix」(オープンソースの自律型セキュリティテストプロジェクト)によると、低権限の一般アカウントでも複数のテナントにまたがるデータにアクセスできたという。具体的には以下の情報が含まれていた。

  • 海軍整備要員向けの3D仮想訓練コース(機密・社外秘マーク付き)
  • 陸軍の爆発物処理・戦術展開に関する野戦マニュアルを含むコース
  • 隊員の氏名、メールアドレス、訓練登録情報、配属基地に関する記録
  • AWSインスタンス上にホストされた文書への直接リンク

脆弱性の仕組みと影響

Strixは、低権限アカウントを使用して通常のブラウザトラフィックを監視し、アプリケーション経由で露出したAPIエンドポイントを特定。同一セッションで高価値データへのリクエストを行ったところ、自組織外の記録が返されたという。

この結果から、APIがテナント間の境界やユーザー権限を適切に管理していなかったことが判明した。マルチテナントソフトウェアにおける認可制御の基本的な機能が機能していなかった可能性がある。

さらに、一部のルートが「書き込み可能」であったことも確認された。悪意のある攻撃者がコースの改ざんや削除を行う可能性があったが、Strixは破壊的なテストは実施していない。

企業の対応と今後の課題

Schemataは公式ウェブサイトで、「第三者による顧客データへのアクセスが行われたという証拠はない」と発表した。

しかし、脆弱性の報告から修正までに150日間を要したことで、政府関連データを扱う企業の脆弱性対応プロセスに疑問が投げかけられている。

Strixによる報告プロセス

Strixは2025年12月2日にSchemataに初めて連絡を取った。CEOは当初、「報酬を求めているのか?」と発言したが、Strixは報酬不要であることを明確にした。その後、12月8日から29日にかけて複数回のフォローアップを行ったが、Schemataからの具体的な対応はなかったという。

最終的に、Strixは2026年5月1日に脆弱性が修正されたことを確認。152日後の5月に詳細な報告を発表した。

「軍事・防衛分野における訓練プラットフォームでは、ユーザーの身元や配属、訓練内容が機密情報に匹敵するリスクをはらんでいる。たとえ非機密であっても、これらの情報が意図しない経路で流出すれば深刻な影響を及ぼす可能性がある」
(Strixによるコメント)

セキュリティ対策の重要性

Schemataのプラットフォームは軍事・防衛分野で使用されており、ユーザーの身元や任務内容が機密情報に直結する。たとえ情報が非機密であっても、隊員の配属基地や訓練内容が流出すれば、安全保障上のリスクにつながる可能性がある。

この事例は、政府関連データを扱う企業が脆弱性報告を受けた際の対応の遅れや、適切な認可制御の重要性を再認識させるものとなった。

出典: CyberScoop
トランプ政権の学生ローン規制が医療人材不足を悪化させる懸念
← 前へ

トランプ政権の学生ローン規制が医療人材不足を悪化させる懸念

 ジェーン・フォンダ、故テッド・ターナーに捧ぐ感動の追悼メッセージ
次へ →

ジェーン・フォンダ、故テッド・ターナーに捧ぐ感動の追悼メッセージ