B
今週中
国防総省の請負業者であるSchemata社のAI仮想トレーニングプラットフォームにおいて、APIの認可不備による脆弱性
📌 一言でいうと
国防総省の請負業者であるSchemata社のAI仮想トレーニングプラットフォームにおいて、APIの認可不備による脆弱性が発見されました。この欠陥により、低権限アカウントで他テナントのユーザー記録、軍事訓練資料、機密扱いの海軍整備コースや陸軍の爆発物処理マニュアルなどの機密データにアクセス可能な状態となっていました。また、米軍兵士の名前、メールアドレス、配属基地などの個人情報も漏洩した可能性があります。
🔍該当判定
- AI搭載の仮想トレーニングプラットフォーム「Schemata」を利用している
- 米国国防総省(DoD)関連のトレーニング教材やシステムを導入している
- Schemata社のサービスを通じて、軍事・防衛関連のデータ管理を行っている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
APIエンドポイントにおける認可制御(BOLA/IDOR対策)の徹底的なレビューと修正、および漏洩した可能性のある機密情報の再評価と影響分析を行うこと。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Schemata社 API認可不備による機密情報漏洩について
お疲れさまです。Schemata社のプラットフォームにおける脆弱性に関する情報共有です。
■ 概要
AI仮想トレーニングプラットフォーム「Schemata」のAPIエンドポイントにおいて、適切な認可チェックが欠如していたため、低権限ユーザーが他テナントの機密データ(軍事訓練資料、ユーザー記録等)にアクセス可能な状態となっていました。
■ 影響範囲
- Schemata AI-powered virtual training platform
- 影響を受けるデータ:ユーザーリスト、組織記録、機密訓練コース、米軍兵士の個人情報(名前、メール、配属基地)
■ 対応手順
1. 自社で同社サービスを利用しているか確認し、利用している場合は最新のパッチ適用状況を確認してください。
2. API設計において、オブジェクトレベルの認可(BOLA)が適切に実装されているか、内部開発製品のレビューを実施してください。
3. 認証済みユーザーであっても、リクエストされたリソースへのアクセス権限があるかをサーバー側で検証するロジックを徹底してください。
■ 参考情報
- Cyberscoop / Strix report
対応優先度: 高
対応期限: 速やかに確認
お疲れさまです。Schemata社のプラットフォームにおける脆弱性に関する情報共有です。
■ 概要
AI仮想トレーニングプラットフォーム「Schemata」のAPIエンドポイントにおいて、適切な認可チェックが欠如していたため、低権限ユーザーが他テナントの機密データ(軍事訓練資料、ユーザー記録等)にアクセス可能な状態となっていました。
■ 影響範囲
- Schemata AI-powered virtual training platform
- 影響を受けるデータ:ユーザーリスト、組織記録、機密訓練コース、米軍兵士の個人情報(名前、メール、配属基地)
■ 対応手順
1. 自社で同社サービスを利用しているか確認し、利用している場合は最新のパッチ適用状況を確認してください。
2. API設計において、オブジェクトレベルの認可(BOLA)が適切に実装されているか、内部開発製品のレビューを実施してください。
3. 認証済みユーザーであっても、リクエストされたリソースへのアクセス権限があるかをサーバー側で検証するロジックを徹底してください。
■ 参考情報
- Cyberscoop / Strix report
対応優先度: 高
対応期限: 速やかに確認
Subject: [Security Alert] Data Exposure via API Authorization Flaw in Schemata Platform
Dear Team,
We are sharing information regarding a security vulnerability found in the Schemata AI-powered virtual training platform.
■ Overview
Due to a lack of meaningful authorization checks on API endpoints, low-privilege accounts were able to access cross-tenant data. This resulted in the exposure of confidential military training materials (Naval and Army manuals) and PII of U.S. service members.
■ Scope
- Product: Schemata virtual training platform
- Exposed Data: User records, organization details, confidential training courses, and service member PII (names, emails, base locations).
■ Recommended Actions
1. Verify if your organization utilizes Schemata services and ensure all security updates are applied.
2. Conduct a security review of internal API endpoints to prevent Broken Object Level Authorization (BOLA/IDOR) vulnerabilities.
3. Ensure that server-side validation is implemented to verify that the authenticated user has explicit permission to access the requested resource.
■ Reference
- Cyberscoop / Strix report
Priority: High
Deadline: Immediate review
Dear Team,
We are sharing information regarding a security vulnerability found in the Schemata AI-powered virtual training platform.
■ Overview
Due to a lack of meaningful authorization checks on API endpoints, low-privilege accounts were able to access cross-tenant data. This resulted in the exposure of confidential military training materials (Naval and Army manuals) and PII of U.S. service members.
■ Scope
- Product: Schemata virtual training platform
- Exposed Data: User records, organization details, confidential training courses, and service member PII (names, emails, base locations).
■ Recommended Actions
1. Verify if your organization utilizes Schemata services and ensure all security updates are applied.
2. Conduct a security review of internal API endpoints to prevent Broken Object Level Authorization (BOLA/IDOR) vulnerabilities.
3. Ensure that server-side validation is implemented to verify that the authenticated user has explicit permission to access the requested resource.
■ Reference
- Cyberscoop / Strix report
Priority: High
Deadline: Immediate review