Google OAuthの脆弱性が発見
- Google OAuthの脆弱性が発見され、退職した従業員がSlackやZoomのようなアプリケーションに無期限でアクセスできてしまう問題がある。
- この脆弱性は技術者でない一般の人でも容易に理解して悪用できるが、Googleはまだこのリスクを軽減するための措置を講じていない。
- 事案のタイムラインは次のとおり。8月4日にGoogleへ脆弱性を開示し、数百のアプリケーションが影響を受けると見込まれた。8月7日に問題がトリアージされた。10月5日にGoogleはこの問題に対して$1337を支払った。11月25日にZoomとSlackを含む数十の影響を受けるアプリケーションに対して大規模な非公開開示が行われた。12月16日に、Googleへ通知してから134日後に公開された。
背景
- Truffle SecurityのForagerツールのベータテスターの1人が、Microsoft OAuthの脆弱性の影響を受けるログインを発見して公開した事例があった。
- Microsoftが、Microsoftで作成も検証もしていないメールアドレスのクレームを送信しており、メールアドレスのクレーム自体が信頼できないという事実に驚かされた。
- GoogleのOIDCドキュメントで、メールアドレスを識別子として使用することに対する警告を見つけた。
Non-Gmail Googleアカウント
- Gmailではない既存のメールアドレスを使ってGoogleアカウントを作成できる。
- このような新しいGoogleアカウントは、Yahooメールのクレームを送信できる。
- Googleのドキュメントがメールアドレスを主要な識別子として使わないように警告している理由は、設定で非Gmailのメールアドレスを編集し、新しいアカウントが以前に編集されたメールアドレスで作成されると、異なる2つのGoogleアカウントが同じメールアドレスのクレームを送信できてしまうためである。
問題となる部分
- 企業のGoogle組織を通じて、メールのエイリアスやメールアドレスのプラス記号転送を使ってGoogleアカウントを作成できる。
- これらのメールアドレスは多くの影響を受ける組織でパースされ、末尾のドメインを使ってログイン可能かどうかが判断される。
- これらの非Gmail Googleアカウントは実際にはGoogle組織のメンバーではないため、管理者設定やユーザーのGoogle一覧には表示されない。
解決策
- 組織はGoogleログインを無効化し、SAMLを厳格に適用することで自衛できる。
- サービスプロバイダーにはGoogle組織のメンバーシップを判定する方法があるが、HDクレームはGoogle組織の構成員でないアカウントでは省略される。
- Googleはこの問題を広く解決するために、誰にとっても有効ないくつかの手順を講じることができる。
追加の影響
- 組織のZoomやSlackへの初期アクセス権がなくてもアクセスできてしまう技術的可能性がある。
- Zendeskのような特定のサポートおよびチケットシステムを通じてメールでサポートチケットを作成し、それを通じてGoogleアカウントを作成してOAuth経由でログインできる。
最終的な考え
- GoogleのOAuthシステムの欠陥により、元従業員がSlackやZoomのようなプラットフォームへ引き続きアクセスできてしまうのは、単なる見落としではなく重大なセキュリティ欠陥である。
- Googleにはこの問題を緩和するための広範な修正を適用する能力があり、公の開示の目的は実際の変化を促すことにある。
- Googleは問題を迅速にトリアージしたものの、自らの90日以内の問題解決ベストプラクティスに従わず、その結果134日目にこの問題が公開された。
GN⁺の見解
- この記事は、Google OAuthシステムの脆弱性を通じて、退職した従業員が会社の重要なコミュニケーションプラットフォームに継続してアクセスできてしまう深刻なセキュリティ問題を明らかにしている。
- このような脆弱性は企業の内部情報セキュリティに大きな脅威となり、機密情報が漏えいする可能性がある。
- Googleがこの問題に積極的な対策を取らなかったことは、企業と個人ユーザーの双方にとって重要なセキュリティ上の問題を提起しており、サイバーセキュリティへの認識向上とセキュリティプロトコル強化の必要性を浮き彫りにしている。
まだコメントはありません。