Googleの認証システムに重大な欠陥 数百万のユーザーに影響する可能性:セキュリティニュースアラート
Googleの「Googleでログイン(Sign in with Google)」認証システムに重大な欠陥が見つかった。この欠陥を悪用すると、SlackやZoomなどのサービスに不正アクセスされる可能性がある。Google Workspaceユーザーは注意してほしい。
セキュリティニュースメディア「GBHackers on Security」は2025年1月14日(現地時間)、Googleの「Googleでログイン(Sign in with Google)」認証システムに重大な欠陥が発見され、数百万人のユーザーの個人情報が漏えいするリスクがあると報じた。
Googleの認証システムに重大な欠陥 Slackなどに不正アクセスできるリスク
この脆弱(ぜいじゃく)性はGoogleのOAuth(※)ログインの仕組みとドメイン所有権の変更に起因している。スタートアップ企業が倒産し、そのドメインが他者に購入されると、新しい所有者は旧従業員のメールアカウントを再作成し、さまざまなSaaSサービスにログインできる可能性がある。
(※)ユーザーが信頼できるIDプロバイダー(IDP)を通じて認証を実施し、他のアプリケーションがユーザーの認証情報を共有せずにアクセス権限を得られる仕組み
この影響を受ける可能性のあるサービスには、「Slack」や「ChatGPT」「Zoom」などのプラットフォームや人事システムが含まれる。特に人事システムでは税務書類や給与明細、保険の詳細などの機密データが漏えいする可能性があるという。
この認証システムの問題はサービスプロバイダーがGoogleのOAuthのクレーム(HDクレームと電子メールクレーム)に依存している点にある。これらのクレームはドメイン所有権が変更されても不変であるため、新しい所有者が旧アカウントにアクセスできる状況を生んでいる。
解決策としてGoogleに対して固有のユーザーIDまたはドメインにひも付けられた一意のワークスペースIDといったOpenID Connect(OIDC)クレームの導入が提案されている。現時点でこの問題はGoogleで検討されているものの包括的な解決策はまだ提示されていないとしている。
GBHackers on Securityによると、この問題は主に米国のテクノロジー系スタートアップ企業の元従業員、特に事業を停止した企業の元従業員に影響を及ぼす可能性があるという。米国では約600万人のアメリカ人がテクノロジー系スタートアップで働いており、スタートアップ企業の半数で「Google Workspaces」が使用されている。
日本でも多くの企業でGoogle Workspaceが利用されており、同様にドメインの再利用のリスクがある。認証システムの堅牢(けんろう)性とサードパーティーログインのリスクを再考し、迅速に対処することが求められている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
アタックサーフェスマネジメントツールへの過信は禁物? できること、できないことを解説
注目のセキュリティキーワードである「ASM」(Attack Surface Management)。ASMツールを導入すれば全てが解決するというわけではありません。本稿はASMツールでできること、できないことを解説します。注目はパスキーだけじゃない 2025年こそ流行ってほしい3つのセキュリティ技術
2025年が始まりました。相変わらずサイバー攻撃は収まる気配はないので、防御側もしっかりと対策を講じなければなりません。今回は新年1回目ということで、2025年こそ流行ってほしい3つのセキュリティ技術を紹介します。“ランサムウェア戦国時代”到来? 2つの事件から見る攻撃者ビジネスの変化
RaaSをはじめとしたランサムウェアの高度化は大きな問題だ。2024年にランサムウェアのエコシステムに起きた“象徴的な2つの事件”を取り上げ、攻撃者たちのビジネスモデルや意識がどのように変化したかを解説しよう。“EDR回避”は2025年の最新トレンド? 最新の攻撃手法を深堀しよう
ここ数年で、ランサムウェアをはじめとしたサイバー攻撃を防ぐ有効な手段としてEDRが広く普及しました。しかし攻撃者もこれを理解し、EDRを回避する攻撃手法を編み出すようになっています。今回はその技術的手法の詳細に迫ります。