フェルスタッペンらの機密情報が丸見え状態に―FIAシステムに脆弱性、ホワイトハッカーが通報

国際自動車連盟（FIA）のドライバーライセンス管理システムに重大な脆弱性が存在し、マックス・フェルスタッペン（レッドブル）を含むあらゆるドライバーのパスポート情報や個人データがアクセス可能な状態だったことが明らかになった。

この脆弱性を発見したのは、F1ファンを自称するホワイトハッカー3名──Gal Nagli、Sam Curry、Ian Carrollによるグループだ。「ホワイトハッカー」は、悪意のある攻撃者とは異なり、発見したセキュリティ上の欠陥を運営者に通知して改善を促す“善意のハッカー”として知られる。企業や官公庁、国際機関などでもホワイトハッカーによる脆弱性報告は一般的で、報奨金制度（バグバウンティ）を設ける例も少なくない。

彼らは2025年6月3日に問題を特定し、即座にFIAへ通報。FIAは同日中にシステムを停止し、1週間で修正を完了させた。ホワイトハッカーたちはF1第20戦メキシコGPを週末に控えた10月22日、ブログで詳細な報告を公開した。

きっかけは、サイバーセキュリティ関連のイベントでF1提携企業と交流したことだった。そこで彼らは、F1関連のウェブサイトにどの程度のセキュリティが施されているのか、検証してみようと考え、独自のリサーチを開始したという。

彼らが目をつけたのはF1のスーパーライセンスではなく、耐久レースにおいて重要なドライバー分類（ブロンズ、シルバー、ゴールド、プラチナ）を管理するFIAポータル「drivercategorisation.fia.com」だった。

このシステムは一般ドライバーも自己登録が可能で、ドライバー分類の変更を申請することもできる。F1ドライバーもこのシステムに登録されており、有効なスーパーライセンス保持者には自動的にプラチナステータスが付与されている。

ハッカーらはまず、通常のユーザーとしてメールアドレスとパスワードでアカウントを作成。プロフィール更新時のHTTP通信を解析した結果、サーバーからの応答に「roles（役割）」というパラメータが含まれていることを発見した。

JavaScriptを使ってさらに調査を進めると、「roles」にはドライバー、FIAスタッフ、サイト管理者など、複数の権限が定義されていることが判明した。ハッカーらは自身の役割を「admin（管理者）」に変更するHTTPリクエストを送信。予想通り、権限が昇格された。

「admin」で再ログインすると、FIA管理者専用と見られるダッシュボードが表示され、ドライバー分類やスタッフ管理、メールテンプレートなど、サーバー変数を直接操作できる状態に変わっていたという。

検証のため、任意のドライバーのプロファイルを確認したところ、以下の情報が閲覧可能であることが判明。登録されている全F1ドライバーの情報もアクセス可能な状態にあった。

• パスワードハッシュ
• メールアドレスと電話番号
• パスポート情報
• 履歴書
• ドライバー分類に関するFIA内部のやり取り
• パフォーマンスに関する委員会のコメントや決定事項

ハッカーらは「フェルスタッペンのパスポート、履歴書、ライセンス、パスワードハッシュ、個人情報にアクセス可能であることを確認した時点で全テストを中止した」と強調。機密情報には一切アクセスせず、手元に取得した全てのデータを削除したという。

ハッカーらは2025年6月3日に脆弱性を特定し、メールとLinkedInを通じて即座にFIAへ通報した。FIAは同日中に返信を行い、問題のサイトをオフライン化。6月10日には、包括的な修正が完了したことを彼らに通知した。

一件についてFIAは、次の声明を発表した。

「FIAは今夏、FIAドライバー分類ウェブサイトに関わるサイバーインシデントを確認した。ドライバーのデータを保護するため即座に措置を講じ、管轄のデータ保護当局に報告。影響を受けた少数のドライバーにも通知した。他のFIAデジタルプラットフォームへの影響はなかった」

さらに、デジタル資産全体におけるサイバーセキュリティ対策を強化しており、新規デジタルプロジェクトにおいては「セキュリティ・バイ・デザイン」（設計段階からのセキュリティ組み込み）を実施していると説明した。

F1関連脆弱性シリーズの第1弾、今後の公表にも注目

今回のブログ記事は、F1関連のシステムで発見された脆弱性をまとめた3部構成シリーズの第1弾とされている。今後、さらなるF1関連のセキュリティ問題が公開される可能性もあり、FIAおよび関係各者の対応に注目が集まる。

F1メキシコGP特集