SCAN DISPATCH ：素人に突破された役所のセキュリティ

SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

「『サルでもできるSQL』を飛ばし読みした程度の素人でさえ、簡単に個人情報にアクセスできる。それだけでなく、個人情報の改変さえできた」と、州役所の情報漏洩を指摘して有名になったブログがある。そのブログによると、Oklahpma のDepartment of Corrections （オクラホマ州矯正管区）のウエブページが、犯罪者の個人情報だけでなく、職員の情報も簡単に漏洩できるまま3年間も放置されていたのだ。

この発見を報告したのは『The Daily WTF』（ http://thedailywtf.com/ ）という、Alex Papadimoulis（アレックス・パパディモウリス）が管理する"Curious Perversions in Information Technology"（情報技術の面白いゆがみ）を発信するブログだ。

ブログの読者が持ち込んだネタをもとに、アレックスが発見した情報漏洩は、オクラホマ州のSexual and Violent Offender Registry（性的犯罪者リスト）のウエブページ。アメリカでは、性的犯罪で逮捕された人は、その後一生、現住所を市町村役所に報告しなければならない。報告された住所と名前は、このSexual and Violent Offender Registryに登録され、一般市民がこの情報を元に、近くに性的犯罪者が住んでいるかどうかをチェックできるようになっている。市によっては、性的犯罪者が引っ越ししてきた場合、近辺の住民にその旨を手紙で知らせるところもある。オクラホマではこのSexual and Violent Offender Registryだけでなく、ありとあらゆる前科者がサーチで探せるようになっている（*1）。

アレックスがサーチ結果のページにある「印刷用ページ」のリンクを見てみると、URLは以下の通りだった。

http://docapp8.doc.state.ok.us/pls/portal30/url/page/sor_roster?sqlStr
ing=select distinct
o.offender_id,doc_number,o.social_security_number,o.date_of_birth,o.fi
rst_name,o.middle_name,o.last_name,o.sir_name,sor_data.getCD(race)
race,sor_data.getCD(sex) sex,l.address1 address,l.city,l.state
stateid,l.zip,l.county,sor_data.getCD(l.state) state,l.country
countryid,sor_data.getCD(l.country)
country,decode(habitual,'Y','habitual','')
habitual,decode(aggravated,'Y','aggravated','')
aggravated,l.status,x.status,x.registration_date,x.end_registration_da
te,l.jurisdiction from registration_offender_xref x, sor_last_locn_v
lastLocn, sor_offender o, sor_location l , (select distinct
offender_id from sor_location where status = 'Verified' and
upper(zip) = '73064' ) h where lastLocn.offender_id(%2B) =
o.offender_id and l.location_id(%2B) = lastLocn.location_id and
x.offender_id = o.offender_id and x.status not in ('Merged') and
x.REG_TYPE_ID = 1 and nvl(x.admin_validated,to_date(1,'J')) >=
nvl(x.entry_date,to_date(1,'J')) and x.status = 'Active' and x.status
<> 'Deleted' and h.offender_id = o.offender_id order by
o.last_name,o.first_name,o.middle_name&sr=yes

お分かりだろう。このURLのリンクは、ずばりページのデータを返すデータベース・クエリそのものを含んでいる。このクエリには、social_security_number（国民保障番号）や、date_of_birth（生年月日）などのコラムも含んでいる。そこでアレックスはこのクエリを改変して新たなURLをつくり、そのURLを入力して10,597人もの、国民保障番号、生年月日、現住所を含むデータを出力させることができた。

アレックスは即座に担当者を見つけ出してこれを報告する。そして次の日にはこのウエブページは「メンテナンス中」となっていたため、アレックスは問題は解決したと思った。

が、一度ページがオンラインになり、アレックスがもういちどチェックをしてみると、social_security_numberと入力しても国民保障番号は返ってこなかったのだが、Social_security_numberと文頭を大文字にしたものを入力してみれば、なんと、きちんと国民保障番号が検索結果に返ってきたのだ。

アレックスは「あきれ返った」と言っているが、当然だろう。性的犯罪者とは言うものの、アメリカでは例えば、自分のヌード写真を撮ってそれをソーシャルサイトなどに掲載した未成年や、公共の場で放尿した者も性的犯罪者となってしまうし、17歳未満のガールフレンドと性的行為を持った17歳の男子が、性的犯罪者の烙印を一生押されてしまったような例もある。また、性的犯罪者の住所・氏名などをこのSVORから手に入れて、性的犯罪者を専門にアイデンティティ犯罪を行っているものがいることも報告されている。

そこでアレックスは…

【執筆：米国　笠原利香】

【関連リンク】
（*1）
http://docapp065p.doc.state.ok.us/servlet/page?_pageid=395&_dad=portal30&_schema=PORTAL30

──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました

購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw