- セキュリティ研究者らが、FIAのドライバー分類ウェブサイトの脆弱性を通じて、F1ドライバーたちの機微な情報にアクセスできたことを発見
- 当該システムは FIA Super Licence とは別に運用されており、ドライバーが自身の等級(ブロンズ/シルバー/ゴールド/プラチナ)を申請または更新できるポータル
- 研究者らは HTTP PUTリクエストのマスアサインメント(mass assignment)脆弱性 を利用して管理者権限を取得し、内部ダッシュボードにアクセス
- これにより、パスポート、メールアドレス、電話番号、パスワードハッシュ、履歴書などのPII を含む、すべてのドライバーのデータを閲覧できた
- 今回の事例は、スポーツ産業のデジタル化に伴ってセキュリティ管理の重要性 が高まっていることを示す代表的な事件
背景: F1とサイバーセキュリティの交差点
- ここ数年、セキュリティスタートアップとベンチャーキャピタル投資の増加 により、主要なネットワーキングイベントがF1グランプリを中心に開催される傾向
- CrowdStrike、Darktrace などはチームスポンサーとして数百万ドルを投資
- Bitdefender は公式 サイバーセキュリティパートナーシップ を締結し、レーシングチームのセキュリティを担当
- 研究者の Gal Nagli、Sam Curry、Ian Carroll はこうしたイベントに参加し、F1関連支援ウェブサイトのセキュリティ脆弱性の探索 を試みた
- 本ブログは 3部作の第1弾 であり、F1関連システムで発見された最初の脆弱性を扱う
FIAドライバー分類システムの概要
- F1ドライバーは FIA Super Licence を保有する必要があり、これは各国のモータースポーツ協会(ASN)を通じて毎年発行される
- 一定の ポイント、年齢、医学的要件および筆記試験要件 を満たす必要がある
- FIAは別途 Driver Categorisationシステム(drivercategorisation.fia.com) を運用し、ドライバーの等級(ブロンズ〜プラチナ)を管理
- このポータルは 公開セルフ登録 をサポートしており、参加者は自身の等級申請書と 身分証明書、経歴書 などをアップロードする必要がある
- Super Licence 保有者には自動的にプラチナ等級が付与される
脆弱性発見の過程
- 研究者らはアカウントを作成した後、プロフィールを修正する HTTP PUTリクエスト を観察
- リクエスト自体は単純だったが、レスポンスJSONには roles、birthDate、status などの追加フィールド が含まれていた
- JavaScriptコードを分析した結果、サイトには ドライバー、FIA職員、管理者(admin) など複数のロールが存在することを確認
- 研究者らは rolesフィールドがサーバー側の検証なしに更新できるか を検証するため、管理者ロールを含むPUTリクエストを送信
管理者権限の取得
- リクエスト例は次のとおり
"roles": [{"id": 1, "description": "ADMIN role", "name": "ADMIN"}]
- サーバーはこれを正常に処理し、レスポンスJSONでは ADMINロールが付与された状態 で返された
- 再認証後にログインすると、FIA管理者向けダッシュボード が表示され、ドライバー分類、職員管理、メールテンプレート修正など サーバー側機能全体へのアクセス が可能になった
機微情報へのアクセス可能性
- 管理者権限でドライバープロフィールを閲覧すると、次のような情報が露出していた
- パスワードハッシュ、メールアドレス、電話番号、パスポートのコピー、履歴書、個人識別情報(PII)
- ドライバー評価に関する内部コメントおよび委員会の決定記録
- 研究者らはテスト中に マックス・フェルスタッペンのパスポート、ライセンス、PII にアクセス可能であることを確認したが、実際の閲覧や保存はしていないと明記
- すべてのテストデータは 即時削除 され、追加の侵入は中止された
脆弱性公開と対応
- 2025年6月3日: FIAにメールとLinkedInを通じて最初の報告
- 同日、FIAは サイトをオフライン化
- 2025年6月10日: FIAが 包括的な修正完了 を正式通知
- 2025年10月22日: ブログ公開および 公開報告 を実施
示唆
- 単純な マスアサインメント脆弱性 が高度なセキュリティシステムでも発生しうることを示す事例
- スポーツ産業のデジタル化が加速する中、個人情報保護とアクセス制御強化 の必要性が高まっている
- とりわけFIAのような国際機関では、API設計および権限検証ロジック に対する定期的なセキュリティ点検が必
1件のコメント
Hacker Newsの意見
これは単なる脆弱性1件ではなく、複数のセキュリティ失敗の集積だ
たとえば、応募者の書類を目的達成後も本番サーバーに置き続けるのはまったく不要だ
こうした対応は blast radius(被害範囲)を最小化する原則にも反している
この状況なら、一生無料チケットをもらってもいいレベルだ
このルールが破られた瞬間、ほかのすべてのルールが崩れるのは時間の問題だ
Ian、サイトに RSSフィード を追加すれば定期購読者がもっと増えると思う
通報当日にすぐサイトを オフラインにした のは驚きだ
これほど対応が速いのは珍しい
この規模の企業がここまで素早く動くのは珍しい
これは本当に 恥ずかしいほどひどいセキュリティ水準 だ
とはいえ、こういうのを見ると自分の インポスター症候群 が少し和らぐ気がする
こういう状況なら、執筆者たちに F1スーパーライセンス でも与えて実際に車を運転させてほしかった、という惜しさがある
こういう セキュリティ探索 をしていて法的な脅しを受けたことがあるのか気になる
バグバウンティプログラムがない場所でも報酬の提案を受けたことがあるのかも気になる
業界には実力も責任感もない人が多い
こういう人たちにとってセキュリティ報告は単なる『面倒ごと』になるため、責任回避のために報告者を責めたり法的措置を取ろうとする動機が生まれる
だから 匿名で活動 するのが最も安全だ。あとで望めば身元を明かすこともできる
あるITエンジニアがパスワードを発見し、phpMyAdminにアクセス可能であることを報告したが、会社は彼を訴え、最高裁まで行って会社が勝訴した
関連記事 (Heise)
こうした行為は通常、正式な レッドチームテスト や 侵入テスト契約 の下でのみ許可される
事後的に「倫理的だった」と主張するだけでは不十分だ
こうした提案は必ず断るべきだ
その後8年間、そうしたことはなかった
今では昔より企業もこうした活動への理解が進んでいる雰囲気だ
私がいちばん好きなハッキング手法は JSを読んでPUTリクエストを改変すること だ
思った以上によく通用する
古い会社には古いセキュリティ がある
RDはよくやったが、まったく驚きではない
ハッシュはおそらく MD5 だとかなり確信している
xkcd 1428を思い出す
奇妙なのは、サイト運営者は Ian Carroll なのに、例には有名なバグバウンティハンター Sam Curry が登場することだ