ハクソク

世界を動かす技術を、日本語で。

アメリカの監視インフラのパスワードを53回ハードコーディングしたFlock

97日前原文(nexanet.ai)

概要

  • Flock SafetyのArcGIS APIキーが公開JavaScriptにハードコードされていた脆弱性
  • 53箇所の公開資産で同一APIキーが露出、50のデータレイヤへ無制限アクセス
  • 全米約12,000拠点(警察・コミュニティ・民間)が影響対象
  • 個人情報・監視データ・緊急通報情報など幅広いカテゴリの情報がリスク下
  • 責任ある開示後、修正対応済みだが、組織的な認証情報管理の問題が浮き彫り

Flock SafetyのArcGIS APIキー漏洩とその影響

  • Flock Safetyは全米規模でナンバープレートリーダー監視カメラドローン等を運用する企業
  • ArcGISベースのFlockOSが全データを統合する「One map」インターフェースを提供
  • 公開JavaScriptバンドルデフォルトArcGIS APIキーがハードコード、リファラ・IP・オリジン制限なし
  • このAPIキーで50のプライベートレイヤ(車両検知・パトカー位置・ドローン・911通報・監視カメラ等)にアクセス可能
  • 53の異なるフロントエンド資産で同一キーが配布、各インスタンス単独でArcGIS環境へアクセス可能

影響範囲と漏洩データカテゴリ

  • 警察・コミュニティ・民間事業者のカメラ設置情報と運用状況
  • パトカー・警察官・ドローン等の位置履歴、ライブGPSデータ
  • 人物・車両検知情報(カメラID、時刻、信頼度、検索履歴等)
  • ホットリスト・捜査情報(ナンバープレート、警告理由、地理的検索範囲)
  • 個人情報(カメラ登録者名、メール、電話、住所、カメラ台数等)
  • Flock911緊急通報データ(事件位置、通報ID、録音・書き起こしデータ)
  • Aerodomeドローンの運用状態(Docked, Recording, Online等の全状態)

脆弱性の技術的詳細

  • ArcGIS APIキーは組織全体のアクセス権限を持ち、クライアントサイドJavaScriptで露出
  • Esri公式ドキュメントでも「公開前にスコープ・リファラ制限必須」と警告
  • Flock Safetyは制限を一切設定せず、デフォルトキーを50プライベートアイテムへフルアクセス許可
  • FlockOSのReactコンポーネントが全レイヤ種別へ同一APIキーを渡し、統一インターフェースで管理

組織的な認証情報管理の問題

  • APIキー漏洩は単発事象でなく、認証トークンの発行脆弱性も別途発見・開示
  • 開示から55日以上未修正という対応遅延(2025年11月~2026年1月時点)
  • 責任ある開示にもかかわらず、組織的な認証情報管理の甘さが露呈

総括と教訓

  • 公開JavaScriptへの認証情報埋め込みは極めて重大なリスク
  • APIキーのスコープ・リファラ・IP制限の徹底が必須
  • 統合マッピング基盤での情報集約は利便性と同時に攻撃面の拡大にも直結
  • 認証情報管理の徹底脆弱性対応の迅速化が今後の必須課題

Hackerたちの意見

Flockがよく言うことなんだけど、 >「混乱がないように直接お伝えします。Flockは一度もハッキングされたことはありません。」 今や彼らはただの嘘をついてるだけだよ。Flockに関するアドボカシーに関わると、彼らの代表がこれを繰り返すのをよく耳にするだろうね。具体的な例を用意して反論する準備をしておこう!
でも、もし鍵をくれるだけなら、それって本当にハッキングなの?ドアを全開にしてる時に、家に入るのは侵入になるの?/s
Flockの「もう全部解決した」っていうPRの否定を使って、まだ安全じゃないカメラに映した動画を見たことがあるな。
ただの無能だね。警察や地方自治体がもっと賢くて技術的な評価ができるようになることを願ってるけど、たぶん無駄だろうな。うちの町ではShotSpotterについて大騒ぎがあって、自治体のCIOや監査役(そして彼らの内部調査能力)も無視されてた。ShotSpotterの技術的主張について選ばれた公務員を手取り足取り教えるのに、悲しいくらいの時間がかかったよ。
「セキュリティ」の名のもとに私たちのプライバシーを侵害することしか考えていない、貪欲で機会主義的な悪徳企業が、セキュリティの分野で無能な人たちに運営されているなんて、誰が予想できただろう?
その質問を真剣に考えて、たくさんの「なぜ」を提供する解説があるよ。 * https://medium.com/@ajay.monga73/why-developers-still-hardco...
ちなみに、FlockはYCが支援している会社だよ。https://www.ycombinator.com/companies/flock-safety
彼らのCEOは、ほんとに自己正当化が激しいキャラだよね。これらのパスワードが特権のあるパートナーの責任を回避するために意図的にそうなってるのか、ちょっと疑問だわ。大体、これらのシステムは司法省からの助成金で導入されてるし。
前回の関連ディスカッション: https://news.ycombinator.com/item?id=46355548
(これは同じことじゃない…)
これは、FLOCK CAMERASが撮影した公園で子供たちが遊んでいる様子を映した実際の動画へのリンクだよ。フィードはインターネット上で公開されてるんだ。
この記事のLLM調が、実際に重要なことを理解するのを難しくしてる気がする人、他にいない?問題が進行中なのか(そう書いてあるけど)、APIキーを回すことで解決されたのか(これも書いてある)もよくわからない。これって、記事に含まれるべき最も基本的な情報だと思うんだけど。
明らかにトーンだけじゃないね。構成や言葉遣いから見ても、かなりAIが書いたって感じだよ。
記事には二つの脆弱性が挙げられてる。一つは2025年6月に修正されたけど、もう一つはまだ修正されてないみたい。
公共のカメラ映像は公開されるべきだよ。
これには同意するよ。特に公共サービスを提供しているはずの組織が運営しているカメラのフィードについてはね。ただ、我々が警察国家をクラウドソーシングしているところがあるのかもとは思う。
ストーキングアプリケーションを最も効果的に可能にするために
誰か自分の街でFlockのカメラを撤去させることに成功した人いる?うちの街は1年半くらい前に追加されたばかりなんだ。他の近くの自治体でも同じ時期に設置されたから、これが協調行動だったのか、カウンティレベルで何かやったのかは分からないけど。
どうやらオレゴン州とワシントン州のいくつかの都市が更新をしてないみたい。https://www.opb.org/article/2026/01/08/bend-flock-cameras-ai...
レドモンド(ワシントン州)での成功: https://www.nwprogressive.org/weblog/2025/11/a-preliminary-v...
まず理解しておくべきことは、少なくとも私の場合、「市」が契約を管理しているわけではないということ。地元の警察がやってるんだ。彼らと話し合うのは大変だよ。
イリノイ州エバンストンはやったよ。
ワシントン州モントレイクテラスはやったよ。私の希望は、これがFlockをワシントン州から追い出すきっかけになることだね。
アリゾナ州フラッグスタッフ。
Flockはあんまり好きじゃないけど、この記事の主張にはちょっと懐疑的だな。ほとんどのスクリーンショットはクライアントサイドのJavaScriptのスニペットで、これらのキーからのAPIレスポンスじゃないみたい。バグバウンティコミュニティでは、Google Maps APIキーの漏洩はよくある誤検知なんだ。請求目的でしか使われないから、実際にはデータへのアクセスを制御してないし。この記事はArcGISが特別だとは証明してないよね。
地図のセキュリティは基本的に不可能だね。地図は政府やエンジニアリングの間で広く共有されなきゃいけないし、探してるものが分かれば、通常は有料のレイヤーにアクセスする方法を見つけるのは驚くほど簡単なんだ。これは、様々な目的でデータを広く共有する必要があるから起こることなんだよ。例えば、地元の郡内のゾーニングの議論から、国全体のブロードバンド資金のための地図まで、地図情報を共有する公共のニーズが生まれるんだ。プロジェクトが終わってもキーが取り消されないのは、そうしないと以前に公開されたリンクがすべて無効になってしまうからで、研究や新しいプロジェクトの計画をする人たちには大変なんだよね。それに、建築などのプログラムにいる大学生は、データを公開している組織との契約の一環として、多くの地図レイヤーにアクセスできるんだ。そういうアクセスがなければ、学生は将来雇われる仕事に必要なスキルを身につけられないからね。学生がデータを手に入れられるなら、それはほぼ公共のものだよ。21世紀ではプライバシーがほぼ不可能になりつつある(あるいはもうなってる)。
ちょっと物議を醸す質問なんだけど、イギリスにはCCTVを壊すブレードランナーがいるよね。アメリカではもっと攻撃的な反応があると思ってたんだけど、実際はそうなってないの?
我々の反警察国家派は無力で、一方で「攻撃的」な派閥が警察国家を作ろうとしてるんだよね。
私の街のフロックカメラの多くは、ソーラーパネルを叩き壊したり、カメラレンズを傷つけたりして無効化されたよ。残念ながら、フロックの契約では市が修理や交換の費用を負担することになってるんだ。
高潔なブレードランナーたちが、勇敢に戦ってるのは…もっと空気汚染のためだね。
彼らのホームページに行って、ドローンの能力について読んでみて。
Flockの問題は、セキュリティがジョークってことじゃなくて、そもそも存在してることだと思う。誰かを監視したいなら、全員を監視する必要はないでしょ。常に私の位置を監視するのは不当な捜索だと言えるよ。