Google

GoogleのOAuth「Sign in with Google」機能に弱点があり、消滅した新興企業のドメインを登録した攻撃者が、さまざまなSaaS(Software-as-a-Service)プラットフォームにリンクされた元従業員アカウントの機密データにアクセスできる可能性がある。

このセキュリティギャップはTrufflesecurityの研究者によって発見され、昨年9月30日にグーグルに報告された。

グーグルは当初、この発見をOauthやログインの問題ではなく、「詐欺と不正使用」の問題であるとして無視した。しかし、TrufflesecurityのCEO兼共同設立者であるDylan Ayrey氏が昨年12月のShmooconでこの問題を発表した後、テック大手は研究者に1337ドルの報奨金を授与し、チケットを再開しました。

Google initial response (top) and ticket re-opening (bottom)
グーグルの初期対応(上)とチケットの再開(下)
ソースはこちら:トリュフ・セキュリティ

このチケットの発行時点では、この問題は未修正のままであり、悪用可能である。Googleの広報担当者は、ベストプラクティスに従い、”ドメインを適切に閉鎖する “ことを顧客に推奨すると述べている。

「Google の広報担当者は、「Dylan Ayrey 氏の協力により、顧客がサードパーティの SaaS サービスを削除し忘れたことに起因するリスクを特定できたことに感謝しています。

ベストプラクティスとして、このような問題が発生しないよう、お客様にはこれらの指示に従ってドメインを適切にクローズアウトすることをお勧めします。 さらに、このリスクを軽減するために、一意のアカウント識別子(サブ)を使用することによって、ベストプラクティスに従うことをサードパーティのアプリに奨励しています」 – Googleの広報担当者

根本的な問題

今日のレポートの中で、Ayreyはこの問題を “GoogleのOAuthログインは、誰かが失敗したスタートアップのドメインを購入し、元従業員のメールアカウントを再作成するために使用することから保護しない “と説明している。

クローンEメールを作成しても、新しい所有者がコミュニケーションプラットフォーム上の以前のコミュニケーションにアクセスできるようになるわけではないが、そのアカウントはSlack、Notion、Zoom、ChatGPT、各種人事(HR)プラットフォームなどのサービスに再ログインするために使用できる。

Accessing registered workspace members on Zoom
Zoomの登録ワークスペース・メンバーへのアクセス
Source:Trufflesecurity

研究者は、廃止されたドメインを購入し、SaaSプラットフォームにアクセスすることで、人事システムから機密データ(税務書類、保険情報、社会保障番号)を抽出し、さまざまなサービス(ChatGPT、Slack、Notion、Zoomなど)にログインできることを実証した。

Ayreyは、Crunchbaseのデータベースで、ドメインが放棄された現在消滅したスタートアップを調べることで、116,481のドメインが利用可能であることを発見した。

GoogleのOAuthシステムでは、サブクレームは、ドメインや電子メールの所有者が変更される可能性があるにもかかわらず、ユーザーを特定するための決定的な参照として機能することを意図して、ログイン全体で各ユーザーにユニークで不変の識別子を提供することを意図している。

しかし、研究者が説明するように、サブクレームにはおよそ0.04%の不整合率があり、SlackやNotionのような下流のサービスはこれを完全に無視し、電子メールとホストされたドメインクレームのみに頼らざるを得ない。

sub, hd, and email claims
sub, hd, and email claims
出典:Trufflesecurity:トリュフセキュリティ

EメールクレームはユーザーのEメールアドレスに、ホストドメインクレームはドメインの所有権に紐付いているため、どちらも新しい所有者に継承され、SaaSプラットフォーム上で元従業員になりすますことができる。

研究者が提案する解決策の1つは、グーグルが不変の識別子、つまり元の組織に結びついたユニークで永続的なユーザーIDとユニークなワークスペースIDを導入したことである。

また、SaaSプロバイダーは、ドメイン登録日の相互参照、アカウントアクセスに対する管理者レベルの承認の強制、本人確認のための二次的要因の使用などの追加的な対策を実施することもできる。

しかし、これらの対策は、コスト、技術的な複雑さ、ログインの摩擦をもたらす。さらに、これらの対策は、現在料金を支払っている顧客ではなく、かつての顧客を保護するものであるため、実施するインセンティブは低い。

増大し続けるリスク

この問題は、何百万人もの人々と何千もの企業に影響を与え、時間とともに大きくなる一方である。

Trufflesecurityのレポートによると、失敗した新興企業の従業員アカウントには、購入可能なドメインが数百万個存在する可能性があるという。

現在、ハイテク新興企業で働くアメリカ人は600万人いるが、そのうちの90%は統計的に数年以内に倒産する運命にある。

これらの企業のおよそ50%は、電子メールにGoogle Workspacesを使用しており、従業員はGmailアカウントを使って生産性ツールにログインしている。

もしあなたがその中の一人であるなら、スタートアップ企業を辞める際には、必ずアカウントから機密データを削除し、将来の暴露を防ぐために、個人的なアカウント登録に仕事用のアカウントを使用しないようにしよう。