2026/01/10 1:49
**Flockが米国の監視インフラのパスワードを53回ハードコードした**
RSS: https://news.ycombinator.com/rss
要約▶
日本語訳:
要約:
Flock SafetyのデフォルトArcGIS APIキーが誤ってクライアント側JavaScriptバンドルに埋め込まれ、同社のArcGISマッピング環境と50個のプライベートアイテムへの無制限アクセスが漏洩しました。キーは複数のサブドメインにわたる53件の公開フロントエンドバンドルに出現し、リファラーやIP制限が設定されていませんでした。この問題は約12,000件のデプロイメントに影響を与えました:~5,000件の警察署、6,000件のコミュニティデプロイメント、および1,000件の民間企業。
リスク対象となるデータには、監視インフラ(カメラ在庫、ドローンテレメトリー)、法執行位置情報(パトロールカーGPS、ボディーカム位置)、人・車両検出アラート、ホットリスト検知、CADイベントレイヤー、Flock911インシデント文字起こし/音声、およびカメラ登録者の個人情報が含まれます。キーのメタデータは「portal:app:access:item」権限を50件持っており、多数または千単位の機関からのデータを集約している可能性があります。
2025年11月13日に別途報告された重大脆弱性により、未認証でFlock Safetyの本番環境(「Flock Safety Prod」)にスコープされた有効なArcGISトークンをミントできる問題が存在しました。この欠陥は2026年1月7日現在でもパッチ適用されておらず、デフォルトキーとトークンミントの脆弱性は、ほぼ100万件の利用可能クレジットを持つアクティブサブスクリプション下で機能していました。
この漏洩により、Flock Safetyが主張するCJIS、SOC 2 Type II、ISO 27001、およびNIST標準へのコンプライアンスは損なわれます—これらの主張は監査報告で裏付けられたことがありません。実際に悪用例として、ジョージア州(Steffman)、カンザス州(Nygaard)、フロリダ州(Brown)の警察長官がFlockカメラを利用して個人をストーカーした事例が報告されており、システムの乱用への脆弱性が示されています。上院議員ロン・ワイデンは公にFTCによるFlock Safetyのサイバーセキュリティ実務調査を要請しています。
外国情報機関は通信を傍受せずとも大規模に移動データを収集でき、国内では強制、脅迫、ハイプロファイル標的への影響操作といったリスクが存在します。トークンミント欠陥は2026年初頭まで未修正であり、警察署、コミュニティデプロイメント、民間企業を脅かし、法執行技術に対する公衆の信頼を侵食しています。
本文
| ベンダー | Flock Safety |
|---|
影響を受けた製品 | ArcGIS、FlockOS、Aerodome、Flock911
脆弱性の種類 | ハードコーディングされたAPIキー漏洩(CWE‑798)
露出件数 | 公開フロントエンド資産全体で53件の個別インスタンスが存在し、50層のデータレイヤーを危険にさらしている
リスク対象データ | 約5 000の警察署、約6 000のコミュニティ展開、および約1 000の民間企業
状況 | 責任ある開示後に修正済み
エグゼクティブサマリー
私はFlock Safetyが公開しているJavaScriptバンドル内に埋め込まれたデフォルトArcGIS APIキーを発見しました。この1つの資格情報で、同社のArcGISマッピング環境と、全国約12 000件の法執行機関・コミュニティ・民間企業から集約された50個のプライベートレイヤー(車両ナンバープレート検出、パトロールカー位置、ドローンターミネーション、ボディカメラ位置、911通話データ、監視カメラ位置)にアクセスできました。
キーはリファラー、IP、オリジンで制限されておらず、53件の別々フロントエンドバンドルと環境で公開されていました—各インスタンスが独立してArcGISプラットフォームへのアクセスを許可しています。
背景:Flock Safetyとは?
米国全土で、ナンバープレートリーダー、ドローン、音声センサーは毎日数百万の人々の動きを静かに記録しています。
Flock Safetyは、これらデバイスの中でも最大規模かつ最も急成長しているネットワークを運営し、何十万台のカメラが月間3 億件以上の車両検出と未公開の人検出を生成しています。
このインフラストラクチャの中心にあるのは FlockOS で、「One map. Smarter response.」というキャッチコピーで販売されています。
同社独自のドキュメントによれば、ArcGIS駆動型インターフェイスは「すべてのデータストリームと接続された資産の位置を統合し、状況認識と共通運用手順を可能にする」とされています。(Source: ClearGov Resource Document)
この「一枚のマップ」は比喩ではなく、ArcGISスタックそのものです。公開されたAPIキーがそれを解錠しました。
脆弱性
資格情報はFlock SafetyのArcGISマッピング環境に直接紐付く組織全体のAPIキーでした。開発サブドメインから配信されるクライアント側JavaScriptバンドルに現れ、公開アクセスが可能でした。
このキーでArcGIS APIを照会すると、次のようなメタデータが確認できました:
- キーは appTitle: “Default API Key” とタグ付けされており、Esriがアカウント作成時に自動生成するキーです。
- Esriのドキュメントでは「APIキーは永続的なアクセストークンであり、公開フロントエンドアプリケーションへの特定サービスとプライベートコンテンツへのアクセス範囲と権限を定義します」と記載されています。
- キーのメタデータには 50 “portal:app:access:item” 権限があり、各々がプライベートArcGISアイテムへのアクセスを許可しています。
Flockの「一枚マップ」アーキテクチャでは、参加機関が共有し、Flock所有のレイヤにデータを寄与します。したがって、50個のプライベート項目は数百〜数千の機関から集約された情報を含む可能性があります。例えば、一つの検出レイヤーには全5 000件の警察署からのホットリストヒットが含まれます。
Esriは「最高レベルのセキュリティを確保するために、アプリケーションを展開する前にAPIキーのスコープとリファラーを設定してください」と警告しています。Flockはリファラ制限もIPホワイトリストもスコープ制限も適用せず、デフォルトキーを取得し、50個のプライベートアイテムへのアクセス権を付与してから53件の公開エンドポイントに埋め込みました。
FlockOS:統合された攻撃表面
FlockOSマップコンポーネントの署名は統一レイヤ構造を示しています:
ru = ({ esriMapsApiKey: t, baseLayers: n, dynamicLayers: i, featureLayers: o, markerLayers: a, nonClusteredMarkerLayers: s, clusteredMarkerLayers: l, heatmapLayers: h, focusedMarkers: p, selectedLayers: g, setSelectedLayers: A, onBaseLayerChange: y, onCustomMapLayerSelectionChange: b })
単一コンポーネントがEsri APIキーとすべてのレイヤタイプ(ベースマップ、動的オーバーレイ、フィーチャレイヤー、クラスター付き・非クラスター付きマーカー、ヒートマップ)を消費します。レイヤ選択状態は全データソースで一元管理されます。
JavaScriptバンドルから確認された内部権限フラグ:
canUseFlockOS911 canUseCAD canDispatchDrone canManageIntegrations
公開されたAPIキーは、カメラ在庫、モビールユニット、検出結果、ホットリスト、検索ジオメトリ、ドローンターミネーション、Raven分析、警官がアクセス可能なビュー、およびFlock911事件など、すべてのFlock Safetyアプリケーションが集約する共通マッピングレイヤーへのアクセスを許可しました。
露出したデータカテゴリ
| カテゴリ | 例 |
|---|---|
| 監視インフラ | 警察署、コミュニティ、民間企業が運用するカメラ展開;Wing Gateways経由で接続されたサードパーティ機器;Raven音声銃撃検知センサー;ライブステータスを持つドローン資産 |
| 法執行位置データ | ライブ・履歴のパトロールカーGPS位置;Axonボディカメラ位置;警官モバイルアプリ(電話、スマートウォッチ)位置データ |
| CAD (Computer‑Aided Dispatch) | イベントレイヤーとパトロール履歴 |
| 人・車両インテリジェンス | カメラID、時間窓、信頼度閾値、失効タイムスタンプを伴う人物検出アラート;マップ上に追跡オブジェクトとして描画される人物検索;車両アラートと車両記述アラート;検出とともに保存された車両検索 |
| 音声アラート | 銃撃検知ポップアップ(単一発射 vs 複数発射の分類) |
| ホットリスト & 調査データ | ホットリスト検出はトピック名、警告理由、フィルタID、重複除去された検出ID、ナンバープレート番号、時間/位置データを含む;保存検索フィルタ―(アナリスト検索)は空間オブジェクトとして永続化される;調査フットプリント(実際のポリゴンと半径) |
| 個人情報 | カメラ登録者名、メールアドレス、電話番号、位置タイプ(法執行、非法執行、民間)、郵便住所、内部/外部カメラ数;関連カメラロケーション配列;物理配置場所、デバイスシリアル番号、稼働率、運用ステータス |
| Flock911 緊急データ | ライブインシデント位置;コールID;文字起こしアクセストークン;単語ごとの文字起こしタイミングデータ;オーディオスクラブ位置と再生状態 |
音声および文字起こしデータは、カメラ、パトロールユニット、およびアラートと同じマップコンテキストを通過します。マッピングレイヤーには別のセキュリティ境界が存在しません。
ドローンターミネーション(Aerodome統合)
パトロール/デバイストレーに描画される状態は次のとおりです:Docked, Buffering, Recording, Inactive, Offline, Off, ON, ONLINE, ACTIVE, Charging, Uploading。
「online / charging / buffering」グループは緑色で表示;「inactive / offline / off」は灰色;「recording」は赤色。これにより、共有マップUI上でレンダリングされるデバイス状態の完全セットが確認できます。
資格情報漏洩パターン
公開されたデフォルトAPIキーは孤立した事象ではありませんでした。
私は別途、認証不要ArcGISトークン発行を許可する重大脆弱性も開示しました。この脆弱性により、未認証ユーザーが開発環境から本番環境向けの有効なArcGISトークン(“Flock Safety Prod”)を取得できました。
| 日付 | イベント |
|---|---|
| 2025年11月13日 | Flock Safetyセキュリティチームへ初回開示送信 |
| 2025年11月14日 | 受領確認依頼のフォローアップ |
| 2025年11月19日 | 第二回フォローアップ;Flock Safetyが受領を承認 |
| 2026年1月7日 | 脆弱性は未修正(55+ 日) |
技術詳細は公開していません。脆弱性が55日以上残っていることは、資格情報管理のシステム的パターンを示しています。
公開された資格情報比較
| プロパティ | デフォルトAPIキー | Flock Safety Prod |
|---|---|---|
| ポータルアイテムアクセス | 50プライベートアイテム | なし |
| カメラネットワークアクセス | アイテムアクセス経由で有効 | 直接FeatureLayerで有効 |
| ソース | 開発サイトJSバンドル | 認証不要トークン発行 |
| 状態 | 修正済み(2025年6月) | 未修正(55+ 日) |
両キーはほぼ1百万クレジットを持つ同一サブスクリプションで動作しています。開発環境は本番よりも広範なアクセス権が設定され、かつ公開アクセス可能でした。
範囲制限と証拠基準
50の“portal:app:access:item”特権はプライベートアイテムIDを参照しています。実際にそれらを列挙するには各アイテムをクエリする必要がありますが、私は行っていません。しかしArcGIS協業機能ではパートナー組織が別の組織のポータルへレイヤーを共有できるため、証拠はその使用が実際に行われていることを示唆します。
あるシェリフ事務所の担当者がFlock Safetyの組織へArcGISレイヤーを直接共有していると確認しました。これはEsriの協業ドキュメントと一致し、公開された資格情報メタデータに観察された権限構造と合致します。
確実に言える点は:
- APIキーのメタデータが50個のportal:app:access:item特権を明示している。
- Esri自体の文書では、これらの特権が「ホステッドフィーチャサービス、ウェブマップ、ウェブシーン、タイルレイヤー」およびその他プライベートポータルコンテンツへのアクセスを許可することを確認。
- 法執行機関の情報源がFlock Safety組織へレイヤー共有を実際に行っていると証言。
- キーは53個の公開エンドポイントでリファラ制限・IP制限・アクセスコントロール無しで配信されていた。
これら全体から、公開された資格情報が法執行データへの技術的アクセス経路を提供したことが明らかです。各プライベートレイヤーの正確な内容は検証されていませんが、間接的証拠は十分に強力です。
重要性:国家安全保障への影響
移動データの情報価値
外国諜報機関は通信コンテンツを取得する必要はなく、この規模で動きを観測できれば十分です。政治家、連邦エージェント、諜報員、軍指揮官、特殊部隊などの存在・ルーチン・関係性を示す過去の位置データは独自に情報価値があります。
例えば、SEAL Team 6やDelta Forceが数日間道路から消える場合、その欠席自体がシグナルとなります。同時期に主要なフランス通訳者も移動パターンから離れた場合、同調した欠席は特殊部隊ミッションの開始を示唆します。米国では全国規模のナンバープレートリーダーネットワークがこれらの重複を捕捉できます。
国内リスク
継続的かつ不差別的な移動追跡は、通信コンテンツを取得せずとも脅迫・勒索・影響操作を可能にします。議員、上級軍関係者、大使館職員、企業経営者およびその家族や子どもまでが高リスク対象となります。十分なカバレッジと時間があれば、人の生活パターン(不倫・秘密会合・敏感な関係性)が可視化されます。
これは理論的な懸念ではなく、法執行機関によるナンバープレートリーダーの濫用歴史(Flock自身を含む)で示されています。移動データへのアクセスは個人目的で武器化されてきました。
Flockカメラ濫用事例
| 場所 | 年 | 事件 |
|---|---|---|
| ブラスロトン(ジョージア州) | 2025年11月 | 警察署長マイケル・ステッファンは、Flockカメラを使用して複数人の追跡と嫌がらせで逮捕され、20年間務めた後に辞任。公共記録解析により州外機関(キャピトラ・カリフォルニアなど)からもFlockデータ検索を実行していたことが判明。 |
| セドグウィック(カンザス州) | 2023–2024 | 警察署長リー・ニュガードは、Flockリーダーで元彼女の車両を164回、現在の恋人の車両を64回追跡。偽の正当化(子供失踪、麻薬捜査、不審活動)を記録し、個人的検索性を隠蔽。辞任後に認定証は取り消されたが刑事告発はなし。 |
| オレンジシティ(フロリダ州) | 2024–2025 | 警官ジャーマラス・ブラウンはFlockリーダーで元彼女の行動を約7か月追跡し、逮捕され嫌がらせと不正アクセス罪で起訴。監査では特定車両タグを繰り返し実行していたことが判明。 |
これらはすべて、法執行機関の責任者が女性に対して個人的目的で監視ツールを武器化したケースです。システムには濫用防止策がほとんどなく、検知は被害者自身の報告後にのみ行われました。
議会への懸念:実証済み
私の調査は、ロン・ワイデン上院議員が「Flockはオレゴン州民のプライバシーと安全を守るというコミットメントを果たせない」と述べた主張を裏付けます。また、FTCへのFlock Safety調査要請(Letter to FTC)も支持しています。
スタウントン市が契約解除後にCEOガレット・ランゲリーから送られた無償メール:
“I’m writing to you directly because I want there to be zero confusion about what’s happening. Flock has never been hacked. Ever.”
この表明は、最も狭い意味で技術的には正しいです。侵害の欠如は内部統制・監査・モニタリングの結果ではなく、責任ある開示によるものです。誰かが別途資格情報を発見すれば、これは今世紀最大規模のデータ漏洩・国家安全保障インシデントになる可能性があります。
コンプライアンス主張への対処
同社は「FlockはCJIS準拠。NDAA, SOC 2 (Type II), SOC 3, ISO 27001, HECVAT, FERPA, NIST, CAIQに準拠」と述べています。
私は数十件のコンプライアンス評価を実施した専門家として、これらは保証ではなく特定コントロールの範囲であることを知っています。
審査対象範囲は企業が提示するものであり、レビューされたものだけが合格です。Flockから監査報告書を要求しましたが受領できませんでした。
デフォルトAPIキーが53件の公開開発・本番近接資産に埋め込まれているという事実は、秘密漏洩やサブドメイン検出の基本的なレビューすら通過しなかったことを示しています。これは手続き上だけでなく、アーキテクチャ的欠陥です。
行動案
| 役割 | アクション |
|---|---|
| 住民 | 市のFlock Safety契約と内部監査ログに関する公開記録請求。監視調達が議論される次回市議会で出席。EFFのStreet‑Level Surveillanceリソースを参照。 |
| ジャーナリスト | 提示された技術証拠は出発点です。フォローアップ可能。追加スレッドがあります。 |
| 法執行機関 | ベンダーに対し厳格な質問を投げる。ペネトレーションテスト結果を要求。自組織データの所在と他者アクセス状況を確認。 |
| 政策立案者 | ワイデン上院議員の手紙とFTCへの要請は公文書です。調査を支持し、法執行位置データを扱うベンダーに対して独立監査を義務付ける。 |
結論
APIキーは既にローテーション済みですが、教訓は残ります。20代前半のサイバーリサーチャーがこの規模の露出へ直接アクセスできたなら、目的を持った外国対立者も同様のスケールで監視できます。
Flock Safetyは単にAPIキーを漏らしたわけではありません。国全体の運用心臓部を複数回、53件のインスタンスで公開してしまいました。この現実はすべての関係者にとって懸念材料です。