平文パスワードで動作するAI炭鉱セキュリティカメラネットワーク
セキュリティ研究者がインドの「デジタル石炭」プロジェクトにおけるAIカメラシステムに深刻な脆弱性を発見。平文パスワードの漏洩と認証バイパスが可能。
セキュリティ研究者のEaton氏は、重要なインフラの脆弱性を探る過程で、インドの「デジタル石炭」(Project DigiCoal)プロジェクトにおける深刻なセキュリティ問題を発見しました。このプロジェクトは、AI技術を活用して炭鉱のセキュリティ監視を近代化することを目的としていますが、DeepSight AI Labsが開発した「RPIダッシュボード」には憂慮すべき弱点がありました。
このダッシュボードは炭鉱のAIビジョン監視システムを管理し、既存のCCTV設備に統合して異常を検出するものです。しかし、Eaton氏は「get_users」APIが認証なしでアクセス可能であり、ユーザーリストと平文パスワードを返すことを発見しました。さらに、これらのパスワードは脆弱で、複数のアカウントで共有されており、Google Chromeブラウザでも警告が出るほど弱いものでした。パスワードを使用しなくても、ブラウザのローカルストレージ内のアクセスロール値を変更することで、ログインを偽装してシステムにアクセスできました。
ログイン後、攻撃者は「アラートダッシュボード」にアクセスし、7つの炭鉱のすべてのカメラ映像を表示できました。このシステムは、車両検知、侵入、個人用保護具(PPE)未着用などの違反を監視しており、それらのアラートや録画映像も閲覧可能でした。直接的な壊滅的影響はないものの、機密情報が露出し悪用されるリスクがありました。
Eaton氏は2025年8月22日にインドのコンピュータ緊急対応チーム(CERT-IN)にこの脆弱性を報告しました。その後、9月16日、10月16日、11月17日に更新を求めたところ、CERT-INは毎回「関連当局と適切な措置を取っている」と回答。最終的に2025年11月18日、CERT-INは脆弱性が修正されたことを確認しました。この事件は、重要インフラにおけるAIアプリケーションのセキュリティ実践の重要性を改めて浮き彫りにし、特にパスワード管理やAPIアクセス制御といった基本的安全対策の必要性を強調しています。