Last Updated on 2025-02-15 23:27 by admin

2025年2月14日、米国政府効率化省（DOGE）の公式ウェブサイトdoge.govにおいて、重大なセキュリティ脆弱性が発覚した。

主要な事実

発見者の匿名の2名のウェブ開発専門家が404 Mediaに報告した内容によると、政府サーバーではなくCloudflare Pagesで構築されたウェブサイトのデータベースが、誰でも編集可能な状態で放置されていた。

実際に、データベースには以下の改ざんが確認された

• “this is a joke of a .gov site”
• “THESE ‘EXPERTS’ LEFT THEIR DATABASE OPEN -roro”

発覚までの経緯

2月12日：マスク氏が記者会見でDOGEウェブサイトに言及
2月13日〜14日：段階的に機能拡充
2月14日未明：脆弱性発覚、データベース改ざんを確認

from:Anyone Can Push Updates to the DOGE.gov Website

【編集部解説】

この事案で最も懸念されるのは、政府のウェブサイトでありながら、基本的なセキュリティ対策が施されていなかった点です。Cloudflare Pagesは一般的なウェブホスティングサービスであり、政府の機密情報を扱うサイトには不適切な選択でした。

特に問題なのは、データベースへのアクセス制御が全く実装されていなかったことです。これは、情報セキュリティの基本中の基本が無視されていたことを示しています。

組織体制の課題

DOGEは主に新卒者で構成されており、政府システムの運用経験が不足していました。2兆ドルという巨額の予算削減を目指す組織としては、極めて危険な人員構成といえます。

このような体制で、財務省のシステムへのアクセス権限まで付与されていたことは、深刻なリスクを孕んでいます。

より広い文脈での影響

この事案は、単なるウェブサイトの脆弱性問題を超えて、政府のデジタル化における重要な教訓を提供しています。

特に注目すべきは、「透明性」と「セキュリティ」のバランスです。DOGEは透明性を重視するあまり、基本的なセキュリティを軽視してしまいました。

今後の展望

財務省監察総監室が監査を開始したことで、今後はDOGEの活動により厳格な監視が入ることが予想されます。

この事案を機に、政府のデジタル化プロジェクトにおける適切な人材配置とセキュリティ基準の見直しが進むことが期待されます。

日本への示唆

日本のデジタル庁にとっても、この事例は重要な教訓となります。政府のデジタル化を急ぐあまり、セキュリティや専門性を軽視することの危険性を示しているためです。

テクノロジー企業への影響

この事案は、政府のデジタル化プロジェクトに参画する民間企業にとって、より厳格なセキュリティ基準が求められる契機となるでしょう。

特に、クラウドサービスプロバイダーには、政府向けサービスと一般向けサービスの明確な区分けが求められることになると予想されます。

【用語解説】

• Cloudflare Pages
  ウェブサイトを簡単に公開できるホスティングサービス。GitHubと連携した自動デプロイが特徴。
• APIエンドポイント
  データベースにアクセスするための特定のURL。

【参考リンク】

1. Cloudflare公式サイト（外部）
   クラウドセキュリティとウェブホスティングサービスを提供する世界的企業のポータル

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む