🛡 概要
アメリカ公衆放送アーカイブ(AAPB)のウェブサイトにおいて、保護されたメディアファイルをダウンロードできる脆弱性が存在していました。この脆弱性は少なくとも2021年から悪用されていた可能性があり、今月修正されました。セキュリティ研究者からの情報提供により、AAPBはこの問題を認識し、48時間以内に修正を実施したと確認しました。AAPBの広報担当者は、アーカイブの保護と保存に対するコミットメントを強調し、今後も公共メディアの歴史を一般に無料で提供する意向を示しました。
🔍 技術詳細
この脆弱性は、IDOR(不適切な直接オブジェクト参照)と呼ばれるもので、ユーザーがメディアファイルへのアクセスリクエストを行う際に、メディアIDパラメータを変更することで、保護されたリソースにアクセスできるというものでした。具体的には、Tampermonkeyスクリプトを使用して、バックグラウンドでのfetchやXMLHttpRequestコールを操作し、AAPBのアクセス制御を回避することが可能でした。これにより、正当なメディアIDさえあれば、サーバーは403 Forbiddenエラーを返すことなくコンテンツを提供しました。この問題は、CVEやCVSSの情報は確認されていないものの、利用者にとって非常に危険なものでした。
⚠ 影響
この脆弱性により、多くの保護されたメディアコンテンツが不正にアクセスされ、データホーダーと呼ばれるコミュニティによって共有される危険性がありました。特に、2024年中頃からは、Discordの保存グループでこの脆弱性が広まり、さらなるコンテンツの漏洩が発生しました。AAPBは、コンテンツの保護を強化しているものの、過去にどれだけのコンテンツがアクセスされ、共有されたのかは不明です。また、PBSの職員情報が漏洩した事件もあり、アーカイブやファンコミュニティが敏感なデータにアクセスできる状況が浮き彫りになっています。
🛠 対策
AAPBは脆弱性を修正したものの、今後の対策としては、アクセス制御の強化や、ユーザーのリクエストに対する適切なエラーハンドリングが求められます。さらに、コミュニティの意識向上を図るため、教育プログラムの実施や、情報セキュリティに関する啓発活動も重要です。デジタルメディアの保存と共有においては、著作権を尊重しつつ、安全な方法で情報を扱うことが求められます。これらの対策を講じることで、今後の漏洩を防ぎ、アーカイブの信頼性を保つことができるでしょう。
