TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > ツール: Filevine (法務アシスト) > 法務アシストAIツールに部外者がアクセス可能な脆弱性が存在し10万件近くの機密ファイルが閲覧可能な状態だったことが判明

法務アシストAIツールに部外者がアクセス可能な脆弱性が存在し10万件近くの機密ファイルが閲覧可能な状態だったことが判明

ツール: Filevine (法務アシスト)

【要点】

◎法務AIツールFilevineに部外者が機密文書へアクセス可能な脆弱性が存在し、約10万件の法律関連ファイルが閲覧可能な状態だったことが判明した。 (Gigazine)


【要約】

弁護士向け法務アシストAIツール「Filevine」に、深刻な情報漏えいにつながる脆弱性が存在していたことが、セキュリティ研究者アレックス・シャピロ氏により報告された。サブドメイン探索を起点に調査を進めた結果、実際の顧客環境とみられる管理画面に到達し、API解析を通じてクラウドストレージ「Box」の管理者トークンを取得できる状態だったという。このトークンを用いることで、判例資料や顧客情報など約9万8000件以上の機密ファイルが第三者から閲覧可能だった。脆弱性はすでに修正されたが、高額評価を受ける法務AIサービスにおける情報管理の甘さが浮き彫りとなった。


【ニュース】

◆法務アシストAIツールに部外者がアクセス可能な脆弱性が存在し10万件近くの機密ファイルが閲覧可能な状態だったことが判明 (Gigazine, 2025/12/07 22:30)
https://gigazine.net/news/20251207-legal-ai-tool/

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022