米国の監視インフラのパスワードを53回ハードコードしたFlock Safety

 (nexanet.ai)
2 ポイント 投稿者 GN⁺ 2026-01-10 | 1件のコメント | WhatsAppで共有
  • 全米の監視ネットワークを運営するFlock SafetyがArcGIS APIキーをハードコードし、53個の公開JavaScriptバンドルで露出させていたことが確認された
  • このキーは、約12,000機関の位置・検知データを統合管理するArcGIS環境にアクセス可能で、IP・リファラー制限がなく誰でも利用できた
  • 露出したデータには、警察車両の位置、ドローン・ボディカム・911通話・カメラ配置情報などの機微な位置ベース情報が含まれていた
  • 研究者はさらに、認証なしでArcGISトークンを発行できる2つ目の脆弱性も発見しており、これは55日以上未修正の状態だった
  • この事件は、国家安全保障と個人情報保護の観点で重大なリスクを浮き彫りにしており、米国議会と規制当局による調査が求められる事案だと指摘されている

要約と主な発見

  • Flock SafetyのArcGIS APIキーが53個の公開Web JavaScriptバンドルに含まれており、約50個の非公開データレイヤーへのアクセス権を付与していた

    • 該当キーはデフォルト(Default) APIキーで、ArcGISアカウント作成時に自動発行される組織全体の資格情報
    • リファラー・IP・ドメイン制限がなく、誰でもアクセス可能

  • このキー経由でアクセスできるデータには、車両ナンバープレート検知、パトカー位置、ドローンのテレメトリー、911通話、監視カメラ位置などが含まれていた

    • 5,000の警察署、6,000のコミュニティ、1,000の民間企業のデータが危険にさらされた

  • FlockOSはすべての監視機器とデータを統合する単一の地図ベースインターフェースで、ArcGISがその基盤を担っている

    • 露出したキーは、この統合地図レイヤー全体にアクセスできる権限を提供していた

Flock Safetyと監視インフラ

  • Flock Safetyは全米で車両ナンバープレートリーダー、ドローン、音響センサーを運用し、毎月300億件を超える車両検知データを収集している
  • このシステムはFlockOSというArcGISベースのプラットフォームを通じて、すべてのデータを1つの地図上で統合管理している
  • 露出したAPIキーは、この「One Map」構造全体を解放する鍵の役割を果たしていた

脆弱性の詳細

  • 露出した資格情報は、Flock SafetyのArcGIS環境全体に接続された組織単位のキーだった

    • 53個の公開エンドポイントで同一のキーが繰り返し発見された
    • 各エンドポイントは独立してArcGIS環境にアクセス可能

  • Esriの文書によれば、APIキーは公開および非公開コンテンツへのアクセス権限を定義し、配布前に必ずスコープとリファラーを制限する必要がある

    • Flockはこれらの制限を一切適用していなかった

露出したデータのカテゴリ

  • 監視インフラ: 警察・コミュニティ・民間カメラ、ドローン、音響センサー、サードパーティ機器
  • 位置データ: パトカーGPS、ボディカム、スマートウォッチ、CADイベント、巡回履歴
  • 人物・車両情報: 検知アラート、検索履歴、音響警報(銃声検知を含む)
  • 捜査データ: ホットリスト検知、検索フィルター、地理検索エリア
  • 個人識別情報(PII): カメラ登録者名、メールアドレス、電話番号、住所、カメラ台数
  • Flock911データ: リアルタイムの事件位置、通話ID、録音アクセス用トークン、音声再生状態
  • ドローン状態情報: 機器状態(録画・充電・オフラインなど)表示

繰り返された資格情報露出パターン

  • 同一のデフォルトAPIキーに加え、認証なしでArcGISトークンを発行できる脆弱性も追加で発見された
    • 「Flock Safety Prod」という名前のトークンが実際のカメラネットワークデータにアクセス可能だった
    • 2025年11月13日の初回報告後、55日以上未修正の状態が続いた
属性 Default API Key Flock Safety Prod
アクセス項目 50個の非公開アイテム なし
カメラネットワークアクセス 可能 可能
出所 開発用JSバンドル 認証なしのトークン発行
状態 修正済み (2025年6月) 未修正 (55日以上)
  • 開発環境が本番環境より広いアクセス権限を持ち、外部からアクセス可能だった

国家安全保障およびプライバシー上のリスク

  • 全国規模の位置データは、政治家・軍関係者・情報要員などの移動パターンを露出させる可能性がある
    • 単なる位置の空白だけでも特殊作戦の開始有無を推測できる場合がある
  • 外国の情報機関がこうしたデータを悪用した場合、通信傍受なしでも作戦情報を推論できる
  • 国内的にも、私生活侵害、脅迫、影響力行使に悪用されるリスクがある

実際の不正利用事例

  • ジョージア州ブラッセルトン(2025): 警察署長がFlockカメラを使って個人をストーキングした容疑で逮捕
  • カンザス州セジウィック(2023–2024): 警察署長が元恋人を228回追跡し、虚偽の捜査理由を入力
  • フロリダ州オレンジシティ(2024–2025): 警察官が元恋人を追跡し、不正アクセスおよびストーキング容疑で逮捕

これらの事例は、監視システムが私的目的で悪用されうることを示している

Flockのセキュリティおよびコンプライアンス主張の検証

  • FlockのCEOは「Flockはハッキングされたことがない」と主張したが、これは脆弱性が報告によって発見され、悪用されなかったためだった
  • FlockはCJIS、SOC 2/3、ISO 27001などへの準拠を主張していたが、実際にはデフォルトAPIキーが53個の公開資産に含まれた状態だった
  • これは単なる手続き上の失敗ではなく、構造的なセキュリティ欠陥と評価される

推奨事項

  • 市民: 地方政府のFlock契約とログの公開を請求
  • ジャーナリスト: 技術的証拠に基づく追加調査を実施
  • 法執行機関: ベンダーの侵入テスト結果とデータアクセス範囲を確認
  • 政策立案者: 独立したセキュリティ監査の義務化とFTC調査の支援

結論

  • APIキーは交換されたものの、国家監視インフラの中核アクセス資格情報が53回露出していた事実は重大なセキュリティ警告だ
  • たった1人の研究者がこの規模のアクセスを得られたのであれば、敵対的な行為者ははるかに多くの情報を収集できたはずだ
  • Flock Safetyは単なるキー流出ではなく、米国の監視システムの稼働中枢を露出させたと評価される

関連記事

1件のコメント

 
GN⁺ 2026-01-10
Hacker Newsの意見

  • Flockは好きではないが、記事の主張内容には疑わしい点がある
    スクリーンショットの大半は実際のAPIレスポンスではなく、クライアント側のJavaScriptコードに見える
    バグバウンティ界隈では、Google Maps APIキーの露出はよくある**誤検知(false positive)**の事例で、単なる課金用にすぎずデータへのアクセス権はない
    ArcGISが違うという証拠も記事では示されていない

    • 地図のセキュリティは事実上不可能だ
      政府やエンジニアリング分野では地図を広く共有する必要があり、少し調べれば有料レイヤーにアクセスできる方法も簡単に見つかる
      プロジェクトが終わってもキーを廃棄しないのは、既存のリンクがすべて壊れて研究や計画立案に支障が出るためだ
      大学生でも大学の提携を通じてさまざまな地図データに触れられ、結局そのデータは事実上公開状態になる
      21世紀にはプライバシーの維持がほぼ不可能になりつつある

  • Flockの問題はセキュリティ水準ではなく、彼らの存在そのものにある
    誰かの位置を継続的に追跡することは合理的な監視ではなく、不当な捜索に当たる

    • 誰かが1日24時間ずっと私を尾行して写真や移動経路を記録したら、それは明らかなストーキング
      なのにFlockの行為は本質的に変わらず、ただ目立ちにくいだけだ
    • ここ数十年の事例を見ると、結局は憲法レベルのプライバシー権を明記すべきだという考えになる

  • 公共カメラのフィードは公共の資産なのだから公開されるべきだ

    • 公共サービスを掲げる機関が運営するカメラなら、なおさらそう思う
      ただし、このような公開が結局は監視国家のクラウドソーシングという結果にならないかという懸念もある
    • こうしたシステムはストーキングアプリをさらに作りやすくする土台にもなる

  • 常識的な世界なら、こんなことは会社の倒産と経営陣の収監という結果につながっていたはずだ

  • ナンバープレート認識装置を混乱させる敵対的技術の実験動画を共有する
    ただし、すべての地域で合法とは限らないので法律を確認する必要がある
    YouTubeリンク

  • 自分の街でFlockカメラを撤去させた事例があるのか気になる
    うちの地域では1年半ほど前に設置され、近隣の都市でもほぼ同時に導入された

    • 私はオレゴン州EugeneとSpringfieldでFlock契約を実際に取り消させたコミュニティオーガナイザーの一人だ
      現在はポートランド近郊の都市や州議会のワーキンググループと協力して関連法案を進めている
      Flockが警察部門をどう誘導するかは驚くほどだ
      たとえばLexipolという会社は警察向けの政策文書を販売する一方で、Police1というプラットフォームも運営している
      Police1は警察がFlockのサブスクリプション向け補助金を探すのを助け、Flockはそこに積極的に登場している
      結局、警察はLexipolから政策を買い、その政策はFlockに非常に好意的
      Flockは警察や市当局者に同じ宣伝文句を繰り返し刷り込んでいる
      Y Combinator出身のFlock Safetyは、製品と事業について非常に誤解を招く主張をしている
    • ワシントン州RedmondでもFlock無効化の成功事例があった
      関連記事
    • アリゾナ州Sedona、オレゴン州Bend、テキサス州Hays County、Lockhartなどでも契約解除または拒否の事例がある
      Sedonaの事例, Bendの記事, Hays Countyの記事, Lockhartの記事
      私たちの街でもキャンペーンを進めており、Flockの名前が知られるほど世論は変わってきている
      市議会の会議に直接参加して対話することが重要だ
    • アリゾナ州FlagstaffでもFlock契約が取り消された
      記事リンク
    • オレゴン州とワシントン州の複数の都市がFlock契約を更新しないと決めている
      関連記事

  • 単なる無能の結果に見える
    ShotSpotter導入騒動のときも市のCIOと監査官が排除され、技術的検証のために議員たちを一人ひとり説得しなければならなかった
    こういうことが繰り返されないことを願う

    • いや、これは無能ではなく無関心の問題だ
      直そうという意思があったなら、もう解決していたはずだ

  • 数百万人が利用する公的機関で、機密データが露出したキーを見つけて報告したことがある
    なぜこうした脆弱性が何カ月、場合によっては何年も放置されるのか、今では理解できる
    原因は燃え尽きと無知、そして問題を認めるより隠したほうがましだと考える文化だ

  • 英国にはCCTVを撤去する「Blade Runners」がいるのに、米国ではなぜこうした積極的な対抗がないのか気になる

    • 米国の反監視勢力は力が弱く、むしろ攻勢に出ているのは監視体制を築こうとしている側だ
    • 私の街では一部のFlockカメラがソーラーパネルやレンズの損傷で無効化されたが、契約上は修理費を市が負担する
    • 法的処罰のリスクが大きく、弁護士費用も高いため、行動に移しにくい
      そのうえ暴力的な警察に遭遇する危険もある
    • Flockのホームページに行けばドローン機能の説明も見られる
    • 私たちはますます新しい形のゲシュタポ的な恐怖政治に苦しめられている
      自らを「自由の守護者」と呼びながら、実際にはほとんど抵抗できていない