GoogleのOAuth認証の欠陥を利用して他人になりすます方法をセキュリティ企業が解説

セキュリティ企業のTruffle Securityが、GoogleのOAuth認証に見つかった欠陥について報告しています。この欠陥は、倒産したスタートアップのドメインを購入した第三者が、そのドメインを使って以前の従業員のアカウントに不正アクセスできてしまうというものです。

Millions of Accounts Vulnerable due to Google’s OAuth Flaw ◆ Truffle Security Co.
https://trufflesecurity.com/blog/millions-at-risk-due-to-google-s-oauth-flaw

Truffle Securityは発見した欠陥を検証するため、実際に倒産企業の1つのドメインを購入し、ChatGPTやSlack、Notion、Zoom、人事システムなど、その企業が使用していた様々なSaaSサービスの元従業員アカウントにアクセスできることを実証しています。特に深刻なのは人事システムで、社会保障番号や給与明細、保険情報などの機密情報が含まれていたとのこと。

根本的な原因はGoogleのユーザー認証システムにある、とTruffle Securityは指摘。現行の認証システムではメールアドレスとドメイン名が主な識別子として使用されており、新しいドメイン所有者が同じドメインでGoogle Workspaceアカウントを作成すると、以前の所有者と同じ認証情報が提供され、古いアカウントへのアクセスが可能になってしまいます。また、Googleは一意の識別子としてsubject(sub)というクレームを提供していますが、ごくまれに変更されることがあるため、識別子として信頼できないとTruffle Securityは主張しています。

Truffle Securityによれば、記事作成時点でおよそ600万人のアメリカ人がテクノロジー系のスタートアップで働いており、そのうち90％が最終的に失敗し、50％がGoogle Workspaceを使用していることを考えると、数百万のアカウントが潜在的なリスクにさらされていると予想。また、Truffle Securityの調査では、倒産したスタートアップから10万以上のドメインが購入可能な状態であることが判明しており、この問題の影響範囲は非常に大きいと警鐘を鳴らしています。

Truffle Securityはこの問題をGoogleのセキュリティチームに報告しましたが、当初は「意図した動作である」として却下されたとのこと。しかし、Truffle Securityがセキュリティ系のイベントでこの問題について講演することが決まると、Googleは方針を変更し、1337ドル(約21万円)の報奨金を支払い、修正に取り組むことを表明しました。

この問題を解決するために、Truffle Securityは二つの新しい識別子の導入を提案しています。1つは変更されない一意のユーザーID、もう1つはドメインに紐付けられた変更されない一意のワークスペースIDです。これらの識別子があれば、サービス提供者は新旧のアカウントを確実に区別することができ、不正アクセスを防ぐことができるとTruffle Securityは述べています。

また、Truffle Securityはこの問題に対する暫定的な対策として、スタートアップはパスワードベースの認証を無効にしてシングルサインオンと2要素認証を強制することや、サービスプロバイダーはパスワードリセット時にSMSコードやクレジットカード認証などを用いた追加認証を要求することを提案しました。

ソーシャルニュースサイトのHacker Newsでは、「GoogleのOAuth認証の欠陥という捉え方は不適切であり、ドメインの所有権に基づく認証の根本的な問題だ」とする意見がありました。また、Truffle Securityは「subクレームは信頼できない」と述べていますが、このsubクレームを適切に使用すれば問題を防げるという指摘もなされています。いずれにしても、HackerNewsでは「技術的な欠陥というよりもドメインベース認証に限界があり、倒産後のドメインや個人情報の管理の必要性を示す問題である」という見方が多くみられました。