- 法務AIプラットフォームFilevineのAPIを分析する過程で、認証なしで全権限を持つ管理者権限が付与される重大な脆弱性が発見された
- 研究者はsubdomain enumerationを用いて
margolis.filevine.com のサブドメインを特定し、AWS APIエンドポイントを確認してテストリクエストを送信した
- 単純な
POST リクエストに対して認証トークンなしでレスポンスが返され、その中にBoxファイルシステム全体にアクセス可能な管理者トークンが含まれていた
- このトークンにより、約10万件の“confidential”文書が検索可能であり、医療・法務・給与など極めて機密性の高い資料が含まれていた
- Filevineは通報を受けると迅速な対応と修正を実施し、この事例はAIベースの法務サービスにおけるセキュリティ管理の重要性を示している
脆弱性の発見と公開スケジュール
- 研究者は2025年10月27日、Filevineのセキュリティチームへメールで脆弱性を報告
- 11月4日 Filevineは問題を認識し、迅速な修正計画を返信
- 11月20日 研究者がパッチ適用の確認を行い、ブログ公開の意向を伝達
- 11月21日 Filevineは修正完了を確認し、感謝を表明
- 12月3日 技術ブログを公開
- Filevineは全工程で迅速かつ専門的な対応を示し、責任あるセキュリティ開示のベストプラクティスとして評価された
Filevineと法務AI市場の背景
- Filevineは10億ドル以上の価値で評価される法務AIプラットフォームで、急速に成長中
- 法務事務所はこのプラットフォームに極めて機密性の高いデータをアップロードして業務を処理
- 研究者はYale Law Schoolとのプロジェクト経験を基にFilevineのデータセキュリティ構造をレビューすることになった
リバースエンジニアリングの過程
- Filevineのアクセス制限により、研究者は公開デモ環境を見つけるためにsubdomain enumeration手法を使用した
margolis.filevine.comサブドメインを発見したものの、ページが読み込まれないためChromeデベロッパーツールでネットワークリクエストを分析した- JSファイル内で
POST await fetch(${BOX_SERVICE}/recommend)のコードを見つけ、BOX_SERVICE変数がAWS APIエンドポイントを指すことを確認
{"projectName":"Very sensitive Project"}形式のリクエストを/prod/recommendへ送信すると、認証なしでレスポンスが返却された
管理者トークンの露出と影響
- レスポンスには**Box APIの全管理者権限を持つトークン(boxToken)**が含まれていた
- このトークンは、法務事務所内のBoxファイルシステム全体へのアクセス権を提供した
- 文書、ログ、ユーザー情報など、すべてのデータにアクセス可能
- “confidential”キーワードで検索すると約10万件の結果が返却されることを確認した
- 研究者はただちにテストを停止し、Filevineに脆弱性を報告した
- 悪意ある攻撃者がこのトークンを悪用した場合、HIPAA保護文書、裁判所命令文書、社内給与資料などがすべて漏えいしていた可能性がある
セキュリティの教訓
- AI導入競争の中、企業はデータ保護体制の強化が不可欠
- 特に法務・医療など機密性の高い業界のAIサービスはセキュリティ検証プロセスを厳格に維持する必要がある
- この事例は、AIベースSaaSにおける認証・権限管理の失敗が引き起こすリスクを明確に示している
1件のコメント
Hacker Newsの意見
こういう明白なセキュリティ脆弱性の分類と修正に、これほど時間がかかるのはいつも驚きだ
10月27日に公開されて11月4日にメール確認ということは、その間ずっとクライアントのファイルシステム全体が露出していたことになる
実際の修正はおそらく1時間以内のパッチで済んだはずで、QAテストまで含めてもそんなに長くかかる話ではない
もしかしてsecurity@ のメールを誰も見ていないのか、それとも休暇中だったのか、スパムが多すぎて本物の問題を見つけられないのかと気になる
セキュリティチームが security@ メールを担当していても、実際にバグを直すチームは別なので、引き継ぎが複雑になる
コード所有チームを見つけるだけで数週間かかり、スケジュールも詰まっていて優先度を上げにくい
法務の承認まで必要なので、対応はさらに遅くなる
賢い会社はセキュリティチームに緊急対応権限を与えるが、それが乱用されると今度は社内の疲弊が大きくなる
セキュリティパッチ自体は1時間の修正でも、社内承認やコード所有者探しのせいで2週間かかる
結局、本当の問題は組織のエントロピーだ
LLM がもっともらしい脆弱性報告書を生成することもあり、専門家が何時間も無駄にする場合がある
そのため一部の企業は、勤務時間中だけメールを確認するポリシーを採っている
おそらく言われている通り、担当者が休暇中だった可能性が高い
システムが複雑になるほど問題は減らず、むしろ増えていく
結局のところ、「自分たちは対処できる」と思い込みながら働いているようなものだ
この会社が10億ドルの企業価値評価を受けていたのなら、こんな基本的な脆弱性1つでそれだけの損失を出していてもおかしくなかった
悪意ある人物に見つかっていたら、取り返しがつかなかったはずだ
顧客データ全体が流出していた可能性もあるのだから、発見者には報奨を出すべきだった
その後にデータ流出、脅迫、訴訟、罰金まで続いていたはずだ
こういう事情があるから、ホワイトハットではなくグレーマーケットに向かうハッカーが出てくる
私は金融会社で働いているが、なぜ SaaS X には顧客データを預けるのに、AI SaaS Y には税務書類をアップロードできないのかと皆が不思議がっている
私の考えでは、今のAI業界は**西部開拓時代(Wild West)**のようなものだ
あまりに急速に発展しているため、セキュリティ手順が省略されている
今回の件はそれをよく示している
単なるBox API 連携の問題に見える
Reutersの記事リンク
一方で SaaS Y が単に「データを預ければ安全です」と言うだけなら疑わしい
今回の事件は、「API を素早くつなぐスタートアップ文化」と「データ流出で人生が壊れかねない法律・医療業界」の衝突だ
問題は2010年代レベルのバグパターンなのに、2025年のAIマーケティング包装で覆い隠されている
AIモデル学習のために文書を一元化することで、事故発生時の被害範囲ははるかに大きくなる
営業ではデータアクセスを容易にしないと契約が取れないため、最小権限の原則のようなものは後回しにされる
結局、弁護士たちは「AIアシスタント」を買っているつもりでも、実際には組織の記憶全体への外部アクセス権を与えているようなものだ
本当の問いは、「こうしたシステムのうち、まともなレッドチームテストに合格できるものがどれだけあるのか」だ
非技術系の役員がAIを理解しないままマーケティングばかり叫んでいるのが問題だ
とはいえ、宇宙の比喩を2回使えたのは自分でも気に入っている
Filevine チームは公開プロセス全体を通してプロフェッショナルかつ迅速に対応していた
問題の重大性を認めて修正し、透明性のあるコミュニケーションも行った
だからこういう場合、会社名をわざわざ公開しなくてもよいと思う
問題を解決したなら、あえて恥をかかせる必要はないだろう
そうすることで、どの会社が報告を真剣に受け止めるのか業界が分かる
ハッカーにも会社にも良い前例として残る
また、他のAI SaaS 企業がこの記事を見て同じ失敗を避けられるかもしれない
SOC2 や HIPAA のようなセキュリティ認証プロセスは、一種の「セキュリティ劇場」のように感じる
実際に重要な部分は無視され、形式的なスクリーンショットや文書作業ばかりがあふれている
関連リンク
結局、これは本当のセキュリティではなく、金で買うチェックボックスにすぎない
セキュリティソフトウェアは、依然として使いやすさと複雑さの面で改善の余地が大きい
Google と Meta で働いていたとき、ACL システムがあまりに複雑で、理解するのに4年かかった
こうしたシステムは非技術系企業にはとても使いこなせない
だからむしろ、セキュリティを単純化するスタートアップを作りたくなる
AI よりはるかに難しい問題のように思える
この会社がブログ公開を許可したのは本当に幸運だった
私も以前、大きな脆弱性を見つけたことがあるが、その会社は公開を止めた
今回の攻撃はまったく高度ではなかった
Filevine が侵入テストをしているとWebサイトに書いていたのに、これを見落としていたのは信じがたい
バグバウンティを侵入テストと勘違いしていたように見える
本当に弁解の余地がない
最近は「healthcare + AI」スタートアップが多すぎて、数か月以内にHIPAA データの大規模流出が起きるのではないかと心配している
関連事例はこのスレッドでも見られる