脆弱性を突かれると、攻撃者がユーザーのGoogleアカウントにアクセスできてしまう恐れがあった。
米Googleのアプリケーションスイート「Google Apps」のシングルサインオン(SSO)サービスに脆弱性が見つかり、Googleが問題を修正した。
US-CERTなどの情報によると、Google AppsのSSOは、IDやパスワードなどの認証情報を安全にやり取りするための仕様であるSAMLを使っているが、この実装方法に問題があった。
この脆弱性を突かれると、悪意を持ったサービスプロバイダーがユーザーになりすまして別のサービスにログオンすることが可能になり、攻撃者がユーザーのGoogleアカウントにアクセスできてしまう恐れがあった。ただし、この脆弱性を悪用するためには攻撃者がユーザーをだまし、まず自分たちが用意したサイトにログオンさせる必要があるという。
GoogleはSAMLベースのSSO実装方法を変更してこの問題に対処。管理者や開発者は、IDプロバイダーのアップデートが必要になる。ユーザーは、サードパーティーのサービスプロバイダーで認証情報を入力してGoogleのサービスにログインする際に注意を払う必要がある。
Copyright © ITmedia, Inc. All Rights Reserved.