Bluspark Global の物流プラットフォームに重大な脆弱性：数十年分の貨物データが露呈

あなたの注文した荷物が、サイバー犯罪者の手に渡っているかもしれません。世界中の物流を支える隠れた巨人、Bluspark Global のプラットフォームに、誰でもアクセス可能な「勝手口」が開いていたことが判明しました。これは、ハッカーと現実の犯罪組織が結託し、組織的に貨物を略奪している現状を浮き彫りにしています。

Bluspark Global のセキュリティ脆弱性が暴く物流網の脆弱さ

ニューヨークに拠点を置く Bluspark Global は、一般にはあまり知られていませんが、そのサプライチェーン管理プラットフォーム「Bluvoyix」は、小売大手や家具メーカーなど数百社の貨物追跡を担っています。しかし、セキュリティ研究者のイートン・ズベア（Eaton Zveare）氏が発見した実態は、驚くほど無防備なものでした。

同氏が発見したのは、API（システム間の通信窓口）が認証なしで公開されており、誰でもユーザー情報やパスワードを閲覧できる状態だったことです。特に衝撃的なのは、管理者を含むパスワードが暗号化されない「プレーンテキスト」のまま保存されていた点です。これにより、2007年まで遡る膨大な出荷記録が、インターネット上の誰にでも丸見えになっていました。

報告への沈黙と、解決までの緊迫した経緯

ズベア氏はこの重大な欠陥を修正するため、数週間にわたりメールやLinkedInを通じて連絡を試みましたが、Bluspark Global 側は黙殺を続けました。最終的に、TechCrunch の記者がCEOに対し、本人しか知り得ない「パスワードの一部」を送りつけたことで、ようやく事態が動き出しました。

同社は現在、5つの主要な脆弱性を修正したと発表しています。しかし、具体的にどの程度の被害があったのか、過去に悪用された形跡があるのかについては明言を避けています。現在は第三者機関による評価を進めるとともに、外部の研究者が欠陥を報告できるプログラムの導入を検討中としています。