ニュース
» 2009年04月24日 08時22分 UPDATE

攻撃は未確認:オープンプロトコルのOAuthに脆弱性、Yahoo!やTwitterなどに影響

TwitterやYahoo!、GoogleなどがAPIに採用している「OAuth」に脆弱性が見つかった。

[ITmedia]

 APIアクセス権の譲渡に使われているオープンプロトコルの「OAuth」に脆弱性が見つかった。OAuthを採用しているTwitterやYahoo!、Googleなどは、一時的にOAuthを無効にするなどの措置を取っている。

 OAuthが4月23日付で公開したアドバイザリーによると、この脆弱性は「OAuth Core 1.0」のプロトコルに存在する。

 攻撃者はまず正規のコンシューマーサイトにログインしてOAuth認証プロセスを開始し、サイトのリダイレクトに従って認証を受ける代わりに、Request Tokenとして発行された認証リクエストURIを保存する。次いでユーザーをだましてその認証リクエストURIで構成するリンクをクリックさせ、そのユーザーの保護されたリソースへのアクセスを許可させる。

 被害者は正規のサービス提供者の認証ページにリダイレクトされるため、攻撃に遭っていることに気付かないという。

 アドバイザリーではサービス提供者に対し、直ちに適切な監視措置を取るよう勧告。この脆弱性を解決した仕様は今後公開する予定だといい、公開され次第、全インプリメンテーションを新しいバージョンのプロトコルにアップデートするよう強く促している。なお、現時点ではこの脆弱性を突いた攻撃は確認されていないという。

 米Yahoo!はOAuthを使ったAPIを複数提供しており、当面の措置として、ユーザーがOAuth経由で新しいアプリケーションを許可できないようにした。米Twitterも、一時的にOAuthを無効にする措置を取っている。

 米Googleは、OAuthを使ったGoogleサービスは現時点でこの問題の影響を受けないことが確認されたと説明。一部のGoogleサービスが使っているのは、問題があるものとは別のOAuthだとしている。

過去のセキュリティニュース一覧はこちら

関連キーワード

OAuth | Google | 認証 | API | 脆弱性 | プロトコル


Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -