SCAN DISPATCH：3つの「ありえない」がそろったずさんな政府サイト

　SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

　正規Webサイトからの情報漏れやトロイの木馬の注入は日常茶飯事になっている。今月になって、US House of Representatives Comittee on Oversight and Government Reformが、米国のアメリカ運輸保安局（TSA：Transportation Security Administration）のサイトに、信じられないようなセキュリティの脆弱性が存在した昨年の事件をようやく報告書にまとめた。

　問題があったのは、TSAのRedress Management SystemのWebサイト。このシステムは、TSAが保管している「No-Fly List」や「Selectee List」に間違って名前が載っていると考える人が、自分の名前をはずしてもらうことを手続きを行う。

　No-Fly Listとは、飛行機への搭乗を拒否するべき人物の名前のリストで、Selectee Listは他の旅行者よりも厳重なセキュリティ・スクリーニングをした後に搭乗がOKな人のリストである。このリストがどのように作成されたかは公表されていないが、2007年のJustice Departmentの監査によると、なんと43%もがフォールス・ポジティブ（テロリストに名前が似ているために、搭乗を拒否された人）だそうだ。その中には、テッド・ケネディー上院議員やテッド・スティーブンズ上院議員の婦人なども含まれていたという。

　そこで、2004年に下院の指示によってTSAが開始したたのが、Redress Management Systemだ。No-Fly listとSelectee Listに間違って名前がのっている人や、テロリストと同姓同名であるが、自分はテロリストではない人などが、個人情報とパスポートや出生証明書などを合わせて提出することによって、自分の名前を「cleared list」、つまり危険人物ではないリストに載せてもらうように手続きすることができる。

　手続きに必要な個人情報は、名前、国民保障番号、生年月日、生まれた都市、性別、身長、体重、髪の色などである。TSAは旅行者がWebページからこの手続きができるように、2006年の10月にRedress Websiteを立ち上げたが、このサイトには次の3つのありえない脆弱性が存在していた…

【執筆：米国　笠原利香】

【セキュリティ用語解説】
トロイの木馬（Trojan）とは
https://www.netsecurity.ne.jp/dictionary/trojan.html
SSL（Secure Socket Layer）とは
https://www.netsecurity.ne.jp/dictionary/ssl.html
フィッシング（Phishing）とは
https://www.netsecurity.ne.jp/dictionary/phishing.html

【関連リンク】
報告書
http://oversight.house.gov/documents/20080111092648.pdf
米運輸保安庁から10万件の個人情報が不明
https://www.netsecurity.ne.jp/2_9311.html

──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec