2026-06-25 の一覧へ戻るホーム
ジョンソン・エンド・ジョンソンの Web アプリの脆弱性を悪用する

2026/06/25 1:33

ジョンソン・エンド・ジョンソンの Web アプリの脆弱性を悪用する

RSS: https://news.ycombinator.com/rss

元のHacker News記事へ ↗
要約

Japanese Translation:

サマリーは簡潔な概要として正確かつ明瞭である。厳密な改善は不要だが、可読性を高めるためにやや構造化されたオプションの改作版を以下に示す:

サマリー(オプションの洗練されたバージョン)

ジョンソン・エンド・ジョンソン(J&J)は、著しく異なる結果をもたらした 2 つの深刻なサイバー脆弱性に直面した。第 1 の事例では、安全な MSAL トークンを検証する代わりにハードコードされた AWS API キーに依存していた大学採用ポータルが影響を受け、約 1,000 人の学生の記録が露見し、彼らのプロファイルへの完全なアクセスが可能となった。J&J はこれを 2025 年 10 月 31 日までに修正した。

第 2 の欠陥は、内部の監査トラッキング管理システム(ATMS)を標的にしていた。攻撃者はセッション spoofing およびローカルストレージの操作によって Microsoft SSO セッションチェックを迂回し、これにより LifeScan、Ethicon, Inc.、Abiomed、Depuy、Janssen UK & Ireland を含む 20 社以上の J&J 関連企業で管理者権限の不正アクセスが可能となった。その結果、秘密保持議事録、トランスクリプト、内部データ(一部はロシア由来のものを含む)が露見した。ATMS はまた、単に暗号化ではなく乱読のみを提供する弱いクライアントサイド暗号化スキームを使用していた。

J&J は 2024 年の報告に対して肯定的に対応したが、2025 年 10 月の開示ははるかに遅れた対応を明らかにした:ATMS はジャーナリストの友人が J&J のメディア関係者に連絡するまで 6 ヶ月間未修正であり、修正は 2026 年 4 月 21 日に行われた。脆弱性は 2025 年 10 月 6 日に報告され、フォローアップは 2026 年 6 月 24 日まで続いた。全体として、この事例は組織が外部からの圧力がなければ軽微な修正を優先しつつも重大な内部欠陥を見落とし、その結果機密データや従業員がリスクに晒される可能性があることを示している。

本文

ジョンソン・アンド・ジョンソンにおける重大なセキュリティ脆弱性:学生情報漏洩と監査システムへの不正アクセス

2025 年 10 月、私は Johnson & Johnson(J&J)の Web アプリケーションに対し、以下の 2 つの深刻な脆弱性を発見しました。

  • キャンパス採用システム:約 1,000 名 の学生が持つ個人情報が公開されるリスク
  • 監査管理システム(ATMS):20 の関連企業で利用され、管理者権限の不正取得が可能だった

J&J は過去に良好な対応をしましたが、今回の場合、脆弱性解消までのタイムラグが問題となっていました。

#1 キャンパス採用システムの脆弱性(学生情報漏洩)

概要

J&J は大学のカリヤーフェアや採用イベントなどで新卒人材のスカウティングを実施しており、その管理サイト「Campus Recruiting」には重大なセキュリティ欠陥がありました。

発見経路と技術的詳細

  1. 非公開ルートの暴露
    • URL 
      /recruiter
      にアクセスすると、J&J 従業員限定のマイクロソフト SSO ログインページにリダイレクトされました。
  2. 認証バイパス手法(MSAL の悪用)
    • フロントエンドには 
      Microsoft Authentication Library (MSAL)
      が使用されており、これがログイン状態を確認していました。
    • クライアントサイド攻撃:MSAL のコードを修正し、常に「既にログインしている」と誤認させました。これにより、背後の API 認証が脆弱であることが露見しました。
  3. API キーによる認証の脆弱性
    • 通常は MSAL トークンが使用されるべきところ、実際には ハードコードされた AWS API キー が認証に使われていました。
    • このため、認証トークンを一切必要とせずに、非公開だった採用担当者のダッシュボード(面接評価やメモを含む)に完全アクセスすることができました。

影響範囲と対策

  • 影響者数:約 1,000 人 の学生情報が漏洩する可能性あり。
  • 修正状況:サイト更新により、API キー認証が バリアトークン(MSAL)認証 に置換され、脆弱性は解消されました。

#2 監査管理システム(ATMS)への不正アクセス

概要

J&J グループおよび関連企業全体で利用されている内部 Web アプリ「ATMS」に対し、管理者権限を持たない者でも完全なアクセスが可能でした。

対象企業一覧(全 20 社/事業体)

以下の組織が対象システムを運用しています:

  • ライフスキャン / エシックン・インク / バイオセンズ ウェブスター
  • ITS / デピュイ / エシックンエンドス / ジャンセン
  • ビスタコン / アクラレント / JDx / ステリアルメディック
  • CLS / JJSV / セレノバス / EQ
  • ジャンセン イギリス・アイルランド / RAD
  • アビオメド インク。/ CQ メドテック / V ウェーブ

攻撃手順と技術的詳細

  1. 認証なしでの API アクセス
    • サイトアクセス時、ReactJS アプリがダウンロードされ、API が公開されていました。
    • getAllUsers
      API を直接呼び出すことで、J&J 従業員のリスト(約 13,600 人) を取得できました。
  2. 認証回避手法
    • システムも MSAL を使用していましたが、有効な バリアトークン の設定跡がありませんでした。
    • 攻撃フロー
      1. ヘルプページからシステム管理者の名前と WWID(社内識別子)を取得。
      2. getAllUsers
        API でこれらの情報に照合し、権限情報を引き出す。
      3. パッチを作成してログイン時のリダイレクトを回避し、ローカルストレージにハードコードされた有効な値を設定。
      4. セッション GUID と有効期限の計算用タイムスタンプを取得する GET API を呼び出し、セッション ID を取得。
      5. 手動で入力した有効なタイムスタンプとセッション ID を組み合わせ、ログアウトせずにシステムへ完全アクセスを実行。

懸念点:内部監査の欠如

  • 機密情報の漏洩リスク:システム内に会議録やトランスクリプトなどの機密情報が満載でしたが、J&J はこれらを公開しませんでした。
  • 皮肉な結果:開発者は「極めて安っぽいクライアントサイド暗号化」を試みていましたが、コードそのものが公開されたことで、このシステムのセキュリティ対策は無効と判定されました。システム自体が“監査”されざるを得ない状況に陥りました。

対応経過と批判的考察

タイムライン

脆弱性を発見した 2025 年 10 月に報告し開始された対応経緯は以下の通りです:

  • 2025 年 10 月 6 日:J&J の脆弱性情報報告プログラムに報告。
  • 2025 年 10 月 16 日:応答なし・措置なしと確認し、フォローアップ実施。
  • 2025 年 10 月 17 日:初回対応あり(「事実を確認中」との回答)。
  • 2025 年 10 月 31 日キャンパス採用システムの脆弱性が解消;ATMS について問い合わせ。
  • 2025 年 11 月〜2026 年 1 月:ATMS に対し、複数回にわたり応答なし・措置なしと確認し、継続的なフォローアップ実施。
  • 2026 年 4 月 8 日:ジャーナリストに事情を相談し、メディア面のサポートを要請。
  • 2026 年 4 月 21 日ATMS の脆弱性がようやく解消
  • 2026 年 6 月 24 日:本発表。

考察:対応の遅れと破綻

  • 対応力の低下:2024 年に経験した良好な協力体制とは対照的に、2025 年の脆弱性対応は大幅に低迷していました。
  • メディア介入の必要性:重大な内部データ漏洩の可能性が高いにもかかわらず、報道機関への関与がなければ解決に至らなかったことに大きな驚きと失望を抱かされました。
  • 今後の要望:J&J には今回のプロセスで何が破綻したかを是正し、2024 年に見せたような素晴らしい協力体制を再確立することを願っています。

同じ日のほかのニュース

一覧に戻る →

2026/06/25 2:47

OpenAI、ブロードコムによる初自有チップを発表

## Japanese Translation: 要約: OpenAI は、Nvidia ハードウェアへの依存を減らすという戦略的な動きとして、Broadcom と共同で開発した最初の独自の AI 推論チップ「Jalapeño」を発表しました。このチップの主な優位点は、既存の選択肢を上回る卓越したワットあたりの性能であり、これは OpenAI の大規模言語モデルが直接、チップおよび全体の基盤スタック(アーキテクチャ、カーネル、メモリスистем、ネットワーク、デプロイメントシステムなど)の最適化に参加するという独自のプロセスを通じて実現されています。事前学習タスクは既存のシステムで引き続き行われますが、10 月の公式パートナーシップ発表以降およびさらなるテストを経て、推論ワークロードが Jalapeño へ迅速に移転する見込みです。このチップは推論用に特別に設計されており、より高速で信頼性が高くコスト効率の良い AI エクスペリエンスを実現するとともに運用コストを削減することを可能にします。これは OpenAI の財務の底線を改善する方法として強調されており、エージェント型製品(例:Codex)やリアルタイムモデルを取り扱う専用データセンターなどの目的builtアプリケーションを動かすために適しています。

2026/06/25 7:39

PostgreSQL で十分です

## Japanese Translation: 主要な要点は、GitHub Desktop で特定のクローニングタスクが必要なユーザーは、コントリビューター「cpursley」から提供される専用のスクリプトを使用すべきであるということです。Gist の URL—`https://gist.github.com/cpursley/c8fb81fe8a7e5df038158bdfe0f06dbb.js`—はスクリプトを提供しており、ユーザーは GitHub Desktop 内での使用のために「cpursley/c8fb81fe8a7e5df038158bdfe0f06dbb」をローカルに保存するよう指示されています。内容は、背景や今後のアップデートなしに直ちに実装することに焦点を当てています。

2026/06/24 23:41

RubyLLM:すべての主要 AI プロバイダーに対応する Ruby フレームワーク

## 日本語翻訳: RubyLLM は、OpenAI、xAI、Anthropic、Gemini、Ollama を含むローカルモデルに至るまで主要なすべての AI プロバイダーをサポートする統一された Ruby フレームワークです。多様な API とレスポンス形式を単一のインターフェースに統合することで開発を簡素化するのがその主たる価値であり、このことでチームはチャットボット、AI エージェント、RAG システム、コンテンツ生成器、および様々な AI ワークフローを構築できます。インストールは簡単です:Gemfile に RubyLLM を追加し、`config/initializers/ruby_llm.rb` で API キーを設定し、必要であれば generator コマンドで Rails と統合し、`localhost:3000/chats` でローカルチャット UI を起動できます。開発者は RAG システムやコンテンツ生成器などの複雑なアプリケーションをわずか 2 分で構築でき、Ruby エコシステム内でこの機能を拡張しています。JPG(画像)、MP4(ビデオ)、WAV(音声)、PDF(文書)、RB(コード)を含む広範なファイル解析をサポートしており、`RubyLLM.paint` を介した画像生成、`RubyLLM.embed` を介した埋め込み生成、`RubyLLM.transcribe` を介した音声書き起こしが可能となります。また、`RubyLLM.moderate` を用いたコンテンツモデレーション機能も含まれており、テキストの安全性を確認できます。ユーザーは `.with_tool` を使用して AI エージェントが特定の指示に基づいて実行するカスタム Ruby クラスツールを定義でき、`RubyLLM::Agent` を用いて特定の指示、モデル、ツールの関連付けを持つエージェントを作成できます。さらに、このフレームワークは `RubyLLM::Schema` で定義されたスキーマによる構造化 JSON 出力をサポートし、`.ask` メソッドに渡されるブロックを通じてストリーミングレスポンスを提供します。このアプローチにより、高度なモデルを使用して複雑なタスクを実行する洗練されたエージェントの迅速なデプロイが可能となり、ネイティブ Ruby 環境内で堅牢な人工知能ソリューションの作成が著しく加速されます。