ホワイトハッカーのニサルガ・アディカリ氏は、中央中等教育委員会(CBSE)のデジタル採点システム内で、マスターパスワードおよびその他の深刻な脆弱性を発見したと述べた [1, 2]。
これらの主張は、インドの主要な国家教育委員会が使用しているオンライン採点システム(OSM)に重大なセキュリティ上の不備があることを示唆している。もし事実であれば、マスターパスワードの流出により、機密性の高い生徒データや学業成績への不正アクセスが可能となり、国家試験の整合性が損なわれる恐れがある。
アディカリ氏によれば、システム内に45件の脆弱性を特定したという [2]。同氏はこの欠陥を発見し、今回の騒動が公になる数ヶ月前に報告していたが [2]、委員会に早期の警告を無視されたため、システムが侵害の危険にさらされたままになっていたと述べた [2]。
脆弱性の中心となっているのは、CBSEが答案のデジタル採点に使用しているOSMシステムである [1, 2]。アディカリ氏は、マスターパスワードの流出はシステム設計における致命的な失敗を意味すると指摘した [1]。
CBSEは個別の技術的な主張すべてに対して詳細な公的反論を示してはいないが、今回の報告は、インドにおける独立したセキュリティ研究者と政府機関との間の緊張が高まっていることを浮き彫りにした。アディカリ氏は、早期に委員会に警告することでシステムを保護しようとしたと述べている [2]。
報告された問題の規模(計45件の個別の脆弱性 [2])は、組織的なセキュリティ監査の欠如を示している。特にマスターパスワードの流出という主張は最も深刻であり、通常、このような資格情報は標準的なセキュリティプロトコルをバイパスする管理者権限を付与するためである [1]。
“ニサルガ・アディカリ氏は、マスターパスワードとその他の深刻な脆弱性を発見したと述べた。”
この状況は、堅牢で透明性のある脆弱性開示プログラムなしに国家教育インフラをデジタル化することの危うさを強調している。CBSEのような中央当局がホワイトハッカーからの警告を無視すれば、悪意のある攻撃者が同じ欠陥を悪用する機会を与えることになる。マスターパスワードが存在したとされることは、インドの成績評価プロセスの公正性とセキュリティに対する公衆の信頼を揺るがしかねない「単一障害点」が存在することを示唆している。
