B
今週中
研究者のBobDaHacker氏が、FIFAのバックエンドAPIにおける認証・認可メカニズムの設計ミスを発見しました
📌 一言でいうと
研究者のBobDaHacker氏が、FIFAのバックエンドAPIにおける認証・認可メカニズムの設計ミスを発見しました。この脆弱性により、攻撃者は未認可の状態で内部システムにアクセスし、世界杯のライブストリーミング映像の操作、カメラの乗っ取り、試合スコアや統計情報の改ざんが可能となっていました。FIFAは通報を受けて修正済みですが、通報プロセスに不備があったことが指摘されています。
🔍該当判定
- FIFA(国際サッカー連盟)が提供する公式プラットフォームやAPIを利用している
- FIFA Agent(サッカーエージェント)の登録サイトにアカウントを持っている
- FIFAの内部システムやストリーミング管理画面へのアクセス権限を持っている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
APIの設計段階で、フロントエンドのチェックだけでなくバックエンド側でも厳格な認可(Authorization)チェックを実装すること。また、責任ある脆弱性開示(VDP)ポリシーを策定し、外部からの通報窓口を明確にすること。