「AmazonやPayPalにアカウント認証の抱える脆弱性を指摘しても相手にしてもらえなかった」とセキュリティ研究者が報告

Windows 10のファイル共有プロトコルの脆弱性やiPhoneのVPN接続に関する脆弱性など、ソフトウェアやハードウェアに起因する技術的な脆弱性はすぐに話題になり、企業もいち早く修正パッチを配布することが多いですが、アカウント認証に関する脆弱性の報告に、企業が取り合ってくれなかったと研究者のKevin Lee氏は語っています。

Vulnerability reporting is dysfunctional
https://freedom-to-tinker.com/2020/03/25/vulnerability-reporting-is-dysfunctional/

Lee氏は2020年1月、アメリカのモバイルキャリアで行われるSIMカードの交換手続きに欠陥があり、電話番号やSMSを攻撃者に乗っ取られる「SIMスワップ攻撃」が可能であることを報告。SIMスワップ攻撃が成功すれば、電話番号やSMSのみでアカウントの本人確認を行うウェブサイトも攻撃者に乗っ取られる危険性があることを同時に指摘していました。

キャリアのSIMカード交換プロセスに個人情報を流出させかねない欠陥があるとセキュリティ研究者が指摘 - GIGAZINE

欠陥を論文で報告した後、Lee氏は攻撃が可能なウェブサイトを運営する企業に対し、セキュリティに関する問い合わせ用のメールアドレスや、バグ報告プラットフォームのHackerOne、さらには通常のカスタマーサポートやTwitterのダイレクトメッセージといったさまざまな窓口を経由して欠陥の存在を伝え、修正が必要であることを指摘したそうです。

Lee氏が修正を求めた17サイトのうち、Adobe、Snapchat、eBayの対応は迅速で、修正完了の返答もあったとのこと。しかし、Microsoft、Paypal、Yahooについては、SIMスワップ攻撃をデモンストレーションしたにも関わらず、その脅威を理解してもらえませんでした。PayPalに至っては「SIMスワップ攻撃はキャリアの問題で、PayPalの問題ではない」と指摘を退けたそうです。Lee氏はPayPalの対応に対し「SIMスワップ攻撃による電話番号やSMSの乗っ取りはキャリアに責任があるが、電話番号やSMSだけでアカウント認証ができてしまうのはウェブサイトの問題だ」と述べています。

また、Lee氏はバグ報告により報奨金がもらえるプラットフォームのHackerOneに対して今回の脆弱性を報告していたそうですが、「ソフトウェアのバグではない」として認められなかったとのこと。Lee氏はHackerOneのトリアージシステムに疑問を呈しており、Lee氏と同じようにHackerOneにバグを報告した結果、報奨金を受け取るどころかアカウントをスパム扱いにされてしまった事例も報告されています。

最終的に、17サイトのうち9サイトは記事作成時点で欠陥を修正していないとのこと。欠陥を修正していないウェブサイトにはセキュリティが重要となる決済サービスのPayPalやVenmoも含まれています。

企業は脆弱性に対する報告を真摯に受け止め、そうした脆弱性を検出するためのモデルを使用する必要があるとともに、セキュリティに関する報告を受け付ける直通窓口を用意するべきだとLee氏は指摘しています。