Googleの「Googleでログイン(Sign in with Google)」認証システムに重大な欠陥が見つかった。この欠陥を悪用すると、SlackやZoomなどのサービスに不正アクセスされる可能性がある。Google Workspaceユーザーは注意してほしい。
この記事は会員限定です。会員登録すると全てご覧いただけます。
セキュリティニュースメディア「GBHackers on Security」は2025年1月14日(現地時間)、Googleの「Googleでログイン(Sign in with Google)」認証システムに重大な欠陥が発見され、数百万人のユーザーの個人情報が漏えいするリスクがあると報じた。
この脆弱(ぜいじゃく)性はGoogleのOAuth(※)ログインの仕組みとドメイン所有権の変更に起因している。スタートアップ企業が倒産し、そのドメインが他者に購入されると、新しい所有者は旧従業員のメールアカウントを再作成し、さまざまなSaaSサービスにログインできる可能性がある。
(※)ユーザーが信頼できるIDプロバイダー(IDP)を通じて認証を実施し、他のアプリケーションがユーザーの認証情報を共有せずにアクセス権限を得られる仕組み
この影響を受ける可能性のあるサービスには、「Slack」や「ChatGPT」「Zoom」などのプラットフォームや人事システムが含まれる。特に人事システムでは税務書類や給与明細、保険の詳細などの機密データが漏えいする可能性があるという。
この認証システムの問題はサービスプロバイダーがGoogleのOAuthのクレーム(HDクレームと電子メールクレーム)に依存している点にある。これらのクレームはドメイン所有権が変更されても不変であるため、新しい所有者が旧アカウントにアクセスできる状況を生んでいる。
解決策としてGoogleに対して固有のユーザーIDまたはドメインにひも付けられた一意のワークスペースIDといったOpenID Connect(OIDC)クレームの導入が提案されている。現時点でこの問題はGoogleで検討されているものの包括的な解決策はまだ提示されていないとしている。
GBHackers on Securityによると、この問題は主に米国のテクノロジー系スタートアップ企業の元従業員、特に事業を停止した企業の元従業員に影響を及ぼす可能性があるという。米国では約600万人のアメリカ人がテクノロジー系スタートアップで働いており、スタートアップ企業の半数で「Google Workspaces」が使用されている。
日本でも多くの企業でGoogle Workspaceが利用されており、同様にドメインの再利用のリスクがある。認証システムの堅牢(けんろう)性とサードパーティーログインのリスクを再考し、迅速に対処することが求められている。
Copyright © ITmedia, Inc. All Rights Reserved.