インテルの内部サイトで脆弱性、最大27万人分の従業員情報が閲覧可能に

セキュリティニュース

投稿日時: 更新日時:

インテルの内部サイトで脆弱性、最大27万人分の従業員情報が閲覧可能に

半導体大手インテルの複数の社内向けウェブシステムに、認証回避やハードコードされた資格情報などの深刻な不備が見つかりました。

調査したセキュリティ研究者は、社員用名刺発注サイトや製品階層管理サイト、プロダクトオンボーディングサイト、サプライヤー向けポータル(SEIMS)で計4経路を確認し、いずれも従業員情報の一括取得に至り得る実装だったと報告しています。

名刺発注サイト:フロント側のログイン判定をすり抜け、未認証でトークン取得

研究者は、Angularで実装された名刺発注サイトのログイン処理がフロント側(MSALのgetAllAccounts判定)に依存していたため、スクリプト改変で未ログイン状態でも画面遷移できることを確認しました。

さらに、当該サイトが内部APIに渡すアクセストークンを取得するgetAccessTokenエンドポイント自体が未認証で開いており、匿名のままトークンが発行される実装でした。

このトークンで「worker」APIを叩くと、検索条件(filter)を外した1リクエストで約1GB規模のJSONが返り、世界中の従業員レコードが一括で取得できる状態だったといいます。サイトの用途(名刺作成)に対して返戻データが過剰で、最小権限やデータ最小化が守られていなかった点も課題です。

製品階層管理サイト:復号容易なキーで暗号化した認証情報をフロントに埋め込み

React製の「Hierarchy Management」サイトでは、トークン取得に用いるユーザー名/パスワードをフロントコードに「暗号化」して埋め込んでいましたが、復号キーが同梱されており容易に平文化できたとされています。

さらに、バックエンドの管理者用Basic認証ヘッダーまでハードコードされており、クライアント側で「管理者かどうか」を判定して資格情報を切り替えるという本末転倒な設計が見つかりました。
加えて、PIM関連API向けにも同種のハードコード資格情報(弱い暗号化、あるいは平文)が残されており、複数のAPIで横並びに不備が存在していました。

プロダクトオンボーディングサイト:同様のハードコード認証情報で横展開可能

「Product Onboarding」サイトでも、復号容易な形式で資格情報がフロントに含まれており、従業員ディレクトリへの広範なアクセスと、さらに管理者権限相当の操作に至り得る状態が確認されました。サイト間で認証情報を再利用する実装は、単一点の漏れが全体の破綻につながる典型例です。

サプライヤー向けSEIMS:企業ログイン回避から内部情報へ広がるリスク

SEIMS(Supplier Site)では、企業ログインの回避が可能で、クライアント側の改変を重ねることでシステム全体の閲覧・操作権限に踏み込めたと報告されています。

従業員情報に加え、サプライヤーの機密性の高い情報にも到達し得る構成で、委託・取引先を巻き込む二次被害の懸念が指摘されました。

インテルの対応とバグバウンティの拡張

インテルは2024年10月の通知を受けて速やかに是正したとし、侵害や不正利用は確認していないと説明しています。報告当時、対象の社内クラウド/SaaS系サイトはバグバウンティの範囲外でしたが、その後プログラムを拡張し、クラウドやSaaSを対象に最大5,000ドルの報奨金を提示するよう運用を見直しています。

企業側の教訓:フロント側の「見せかけ認証」を廃し、サーバーで厳格に制御する

今回の一連の不備は、いずれも「クライアントに秘密を置かない」「認証・認可はサーバーで強制する」「最小権限・最小データの原則を徹底する」という基礎を外したことに起因します。情報システム部門としては、次の観点を直ちに点検すべきです。

  • フロント側のログイン判定(MSALのクライアント状態など)に依存せず、API側で必ず認証・認可(OIDC/JWT検証、スコープ/ロール検証、対象レコードのABAC/RBAC)を強制すること。

  • アクセストークン発行APIを未認証で公開しないこと。クライアント資格情報やリフレッシュトークンの保護、PKCEの活用、トークンのオーディエンス検証を徹底すること。

  • 返戻データは用途最小にし、ページング・件数上限・サーバー側フィルタ固定化で“全件取得”を禁止すること。

  • 資格情報のハードコードやフロント埋め込みを全面的に禁止し、シークレットはサーバー側のセキュアストア(KMS/Secret Manager)で管理すること。

  • サイト間で資格情報を再利用しないこと。ローテーションと検知(Secrets Scanning/SCA)をCI/CDに組み込むこと。

  • 社内ポータルでもゼロトラスト前提で、MFA、デバイス/ネットワーク条件、リクエスト異常検知、レート制限、監査ログの相関分析を適用すること。

  • 委託先・仕入先向けポータルには、テナント分離と細粒度の権限制御、データマスキング、ダウンロード制御(OPA/ABAC)を導入すること。

参照

https://eaton-works.com/2025/08/18/intel-outside-hack/

https://www.securityweek.com/intel-employee-data-exposed-by-vulnerabilities/