FacebookやGoogleがヤバイ! セキュリティプロトコルに深刻な脆弱性が見つかる

2014.05.07

どうもハンサムクロジです。

以前「Heartbleed」というOpenSSLに脆弱性が見つかったという記事をご紹介しましたが、またまたインターネット上で利用されているシステムに重大な脆弱性が見つかりました。

脆弱性が見つかったのは「OAuth 2.0」「OpenID」という2つのセキュリティプロトコル。これらを利用しているFacebookやGoogleのユーザーが危険に晒される可能性があるのだそうです。

いったいどのようなリスクがあるのでしょうか?

OAuth、OpenIDとは

OAuthはTwitterやFacebookのアプリ認証などで我々がよく利用しているもの。「連携アプリの認証」、「サービスへの接続リクエスト」というような形で目にしている人も多いと思います。

OpenIDもとても身近なもので、「Twitterアカウントでログイン」とか「Facebookアカウントでログイン」などといった他のIDを使ってサービスを安全に利用するために用いられるプロトコルとなっています。

今回脆弱性が見つかったのは、次世代のOAuth認証である「OAuth 2.0」と「OpenID」となります。

脆弱性の名前は「Covert Redirect」

CNET Japanによると、今回見つかった脆弱性「Covert Redirect」は、シンガポールにある南洋理工大学の学生Wang Jing氏が発見したものだとのことでした。

例えば、用意された悪意のあるリンクをクリックしてしまった場合、対象サイト内で”本物のアドレス”を使ってアプリを許可するよう求められ、許可すると悪意ある第三者に個人情報が送信されてしまうことがあるそうです。

この脆弱性は特定のサイトによる「OAuth 2.0」と「OpenID」の実装上の不備によるもので、そこにはFacebookやGoogle、PayPalなどが含まれているとのこと。

ユーザー側としては、これらのサイトが安全に使えるようになるまで、それらにログインした状態で不用意に信頼性の低いリンクを開かないようにするというくらいしか対策のしようが無さそうです。

また、国内向けのサービスでも今後同様の”実装上の不備”が見つかる可能性があります。問題のあるサイトのリストに名前が無いからといって安心しない方が良さそうです……。

コメント数ランキング

ランキングの続きを見る


関連記事