セキュリティホールからハッカー攻撃頭を悩ます担当者（1）

●認証システムがなく、誰でも税務書類の閲覧可能

2005年2月19日付けで、オハイオ州でソフトウェア開発を行うThink Computerが、オンラインで給与支払いサービスを行うPayMaxxのシステムのセキュリティに問題があり、2万5000人以上の社会保険番号などの個人情報を漏洩しているとのセキュリティ白書を発表した。

1979年創設のPayMaxxはテネシー州に本社を置く。給与支払処理を中心に、事業主の事務業務を行い、本分野では業界6位、数千件の顧客を抱える企業だ。他の同業者と違い、100％ウェブベースでオペレーションを行い、ハイテク産業のように既に自動経理システムを持つ企業にとって魅力的だとの評判がある。

顧客企業は50州にわたり、13万人の税金手続きに関わる。ウェブベースのオペレーションとは、クライアントサイドで、面倒な給与支払いのソフトを用いなくても、どこからでも給与支払い関連のインプットを行うことができるというものだ。サイトはパスワードで保護されていて、HTTPコネクションも暗号化されているので安全というのが“売り”だった。

さらにPayMaxxの魅力は、処理を行った作業のアウトプットが容易だという点だ。ウェブベースのシステムなので、米国の税務書類IRS W2フォームが、いつ、どこででも印刷できる。アドビのPDFファイルを用いたシステムであるためだ。

皮肉なことにThink Computerが発見したセキュリティホールはこのアウトプットに関するものだ。入力時の認証などは非常に細心の注意を払って構築されているが、W2フォームのほうは少し手薄だったという。

PayMaxxを利用していたThink Computerの取締役、グリーンスパンは、顧客の従業員への、オンラインで2004年のW2フォームが利用できるとの通知を受け取った。その中で、各従業員のコードがハイパーリンクされていた。調べてみたところ、コードを少し変えることで、自宅住所、給与支給総額、社会保険番号など他人の個人情報を閲覧、そして印刷できたというものだ。

PayMaxxでは各従業員のデータを順番に表に保存していた。そのため、会社でインプットを担当するなどの利用でPayMaxxのシステムを知っている人なら、IDコードの数字を変えると別の人のデータを見ることができると予測できたという。例えば従業員Aが、自分のデータは000-00-0000＋従業員コードであるPIN000000、つまり000-00-0000+000000だとの通知を受けているとする。Aは他にも000-00-0000＋PIN000001というように、他の従業員のデータを閲覧するためのコードを割り出すことが可能だった。コードからは、PDFフォーマットでのW2フォームの印刷が可能で、当然、W2には様々な重要な個人情報が記載されてあった。グリーンスパンはサイトにサインインして情報をリクエストする人が、本当に閲覧する権利があるか、アクセスする権利があるか確認出来るようにプログラムしているべきだったと主張する。

【執筆：バンクーバー新報　西川桂子】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd