Skip to content

IoT OT Security News

  • Tracking
  • In The Era
  • CISA KEV
  • Security by Design
  • Statistics
  • About
IoT OT Security News

“Sign in with Google” に深刻な問題:廃棄されたメアドでクラウドにログインできる?

Google’s “Sign in with Google” Flaw Exposes Millions of Users’ Details

2025/01/14 GBHackers —Google の認証システムである “Sign in with Google” に、重大な欠陥が発見された。この脆弱性の影響が及ぶ数百万人のアメリカ人が、データ窃取の危機に晒されているが、事業から撤退したスタートアップ企業の元従業員が、この欠陥の影響を受けやすいとされている。この欠陥の根本的な原因は、ドメイン所有権の変更に対して、Google OAuth ログインが適切に対応していない点にあると、Truffle Security は指摘する。

あるスタートアップが失敗して、そのドメインの購入が可能になると、新たにドメインを取得した者は、元従業員のメール・アドレスを再作成できる。そのように再作成されたメール・アカウントでは、過去のメール・データにアクセスすることはできない。しかし、その組織が使用していた、様々な SaaS 製品へのログインに使用できることが判明した。

この問題の深刻さを実証するために、Truffle Security のセキュリティ研究者たちは、撤退したスタートアップ企業のドメインを購入し、以下のような複数のサービスへのログインに成功した。

  • ChatGPT
  • Slack
  • Notion
  • Zoom
  • 社会保障番号を含む人事システム

最も懸念されるのは、人事システムへのログインが達成されたことだ。人事システムには、社会保障番号/給与明細/保険の詳細/税務書類などの機密情報が保管されている。Truffle の研究者が、ログインに成功した面接プラットフォームには、応募者のフィードバックや採用決定に関する機密データなどが残っていた。さらにチャット・プラットフォームには、私的なメッセージなどの、機密性の高い通信が残されていた。

この欠陥が及ぼす影響の規模は驚異的である:

  • 約 600万人の米国人が、テクノロジー系のスタートアップ企業で働いている。
  • テクノロジー系スタートアップ企業の 90%は、最終的に撤退する。
  • スタートアップ企業の 50%は、メールに Google Workspaces を利用している。

また、ベンチャー企業のデータベースである、Crunchbase のデータセットを分析したところ、現時点において、廃業したスタートアップ企業から 10万以上のドメインを購入できることが明らかになった。

仮の話だが、スタートアップの活動期間中に、平均して 10人の従業員が在籍し、10種類の SaaS サービスを使用したとする。その場合には、“Sign in with Google” の問題により、1,000万以上のアカウントの機密データに、流出の可能性が生じることになる。

この問題の核心は、Slack のようなサービス・プロバイダが、どのようにしてユーザーを認証しているのかにある。一般的に、これらのサービスの認証は、Google OAuth の2つの claim である、HD (hosted domain) claim と Email claim に依存している。

HD claim とは、特定のドメインの全ユーザーに対して、アクセスを許可する機能である。その一方で Email claim は、特定のアカウントにログインするユーザーのための機能である。しかし、ドメインの所有者が変わっても、これらの claim は変更されず、新しい所有者に対して、以前の従業員アカウントへのアクセスを許可してしまう。

Truffle Security が Google に提案した解決策は、OpenID Connect (OIDC) claim 内に、2つの固定識別子を実装することである。

  1. 時間経過に影響されない、固定のユニークな User ID
  2. ドメインに結びついた、ユニークな Workspace ID

この欠陥の報告を受けた、Google のセキュリティ・チームによる当初の対応は、「この欠陥は修正しない」というものであった。しかし、この問題が広く知られるようになってから、Google は対応を開始した。

現時点において、この問題に対する包括的な修正策は存在しない。Slack などのプロバイダーが、この欠陥を解決するには、Truffle Security が提案する OIDC claim の実装だけが解決策となる。

もう一度、この問題を整理すると、スタートアップ企業の元従業員たちは、退職するとデータ保護の管理権を失い、そのスタートアップ企業の将来やドメイン所有権に翻弄されるという結論に至る。

このセキュリティ上の欠陥が浮き彫りにするのは、より強固な認証システムの必要性と、サードパーティ・ログイン・サービスへの依存に伴う潜在的なリスクである。

テクノロジー業界が発展を続ける中で、Google のような企業に求められるのは、こうした脆弱性への対処を迅速に行うことである。そうすることで、ユーザーの機密情報を保護するだけではなく、自社サービスへの信頼を維持することが不可欠である。

とても便利な “Sign in with Google” ですが、なるべく使わないようにしてきました。この記事が示すような状況を、予測したわけではありませんが、便利なものには不都合が付きまといますね。この状況に対して、どのように Google が対処するのか、興味津々です。よろしければ、カテゴリ Privacy を、ご参照ください。

Share this:

  • Tweet
Like Loading...
Unknown's avatarAuthor AiototsecPosted on January 14, 2025January 31, 2025Categories AuthN AuthZ, DataBreach, NHI, Privacy, VulnerabilityTags authN authZ, CrunchBase, Data Breach, Google, OAuth, OIDC, OpenID Connect, Privacy, Sign In With Google, Truffle, Truffle Security, Vulnerability

Post navigation

Previous Previous post: Fortinet Firewall を侵害したキャンペーンの詳細:ゼロデイ脆弱性の悪用が入口?
Next Next post: Microsoft 2025-01 月例アップデート:8件のゼロデイを含む 159件の脆弱性に対応

Categories Dropdown

  • Twitter
  • Facebook
January 2025
M T W T F S S
 12345
6789101112
13141516171819
20212223242526
2728293031  
« Dec   Feb »

Top Posts & Pages

  • Chrome/Edge のエクステンションを悪用:430万人を感染させた ShadyPanda のキャンペーンとは?
  • Microsoft Office ログイン時の Something Went Wrong:改善の第一弾とは?
  • Apache Tika Core の脆弱性 CVE-2025-66516 が FIX:悪意の PDF を介した情報漏洩
  • OpenSSH の脆弱性 CVE-2025-61984 が FIX:ProxyCommand 経由での RCE と PoC 公開
  • 70種類のペンテスト・ツールを統合:NETREAPER が提供するシンプルなメニュー・ベースの環境とは?
  • Apache Tomcat の複数の脆弱性が FIX:サービス拒否と認証バイパスの恐れ
  • React を用いるサービス 215 万件以上が攻撃対象:React2Shell 公開直後から積極的な悪用を確認
  • 7-Zip の RCE 脆弱性 CVE-2025-11001 が FIX:PoC 公開後に実環境での悪用が加速
  • 脆弱性 React2Shell CVE-2025-55182:PoC エクスプロイト公開により警戒高まる
  • ChatGPT で世界的なアクセス障害:Codex のトラブルにより会話履歴が一時的に消失

Categories

API APT Asia AuthN AuthZ BruteForce BugBounty CyberAttack DarkWeb DataBreach DataLeak DDoS DoubleExtortion Exploit Literacy LOLbin MageCartAttack Malware MCP MisConfiguration NHI Outage ParadigmShift Privacy Protection RaaS Ransomware RAT Repository Research Resilience Scammer SecTools SocialEngineering SupplyChain TTP Uncategorized Vulnerability WateringHoleAttack Zero Trust _AI/ML _CDN _Cloud _Container _CryptCcurrency _Defence _Education _Finance _Government _HealthCare _Human _ICS _IDS/IPS _Industry _Infrastructure _Mobile _OpenSource _PLC _Regulation _Retail _RTOS _Space _Statistics _Storage _Telecom _Transportation

Archives

  • December 2025 (46)
  • November 2025 (156)
  • October 2025 (177)
  • September 2025 (172)
  • August 2025 (165)
  • July 2025 (176)
  • June 2025 (192)
  • May 2025 (216)
  • April 2025 (192)
  • March 2025 (208)
  • February 2025 (181)
  • January 2025 (185)
  • December 2024 (172)
  • November 2024 (166)
  • October 2024 (184)
  • September 2024 (171)
  • August 2024 (183)
  • July 2024 (188)
  • June 2024 (156)
  • May 2024 (156)
  • April 2024 (155)
  • March 2024 (151)
  • February 2024 (131)
  • January 2024 (132)
  • December 2023 (116)
  • November 2023 (131)
  • October 2023 (124)
  • September 2023 (101)
  • August 2023 (111)
  • July 2023 (110)
  • June 2023 (113)
  • May 2023 (129)
  • April 2023 (127)
  • March 2023 (129)
  • February 2023 (118)
  • January 2023 (138)
  • December 2022 (106)
  • November 2022 (114)
  • October 2022 (120)
  • September 2022 (118)
  • August 2022 (133)
  • July 2022 (97)
  • June 2022 (117)
  • May 2022 (94)
  • April 2022 (112)
  • March 2022 (132)
  • February 2022 (105)
  • January 2022 (128)
  • December 2021 (111)
  • November 2021 (100)
  • October 2021 (110)
  • September 2021 (131)
  • August 2021 (105)
  • July 2021 (105)
  • June 2021 (103)
  • May 2021 (72)
  • April 2021 (58)

Categories

  • API (238)
  • APT (523)
  • Asia (398)
  • AuthN AuthZ (789)
  • BruteForce (66)
  • BugBounty (73)
  • CyberAttack (3,201)
  • DarkWeb (228)
  • DataBreach (550)
  • DataLeak (194)
  • DDoS (164)
  • DoubleExtortion (15)
  • Exploit (1,361)
  • Literacy (2,281)
  • LOLbin (57)
  • MageCartAttack (14)
  • Malware (1,421)
  • MCP (16)
  • MisConfiguration (57)
  • NHI (8)
  • Outage (106)
  • ParadigmShift (181)
  • Privacy (240)
  • Protection (649)
  • RaaS (121)
  • Ransomware (721)
  • RAT (777)
  • Repository (325)
  • Research (1,210)
  • Resilience (133)
  • Scammer (614)
  • SecTools (210)
  • SocialEngineering (47)
  • SupplyChain (404)
  • TTP (1,001)
  • Uncategorized (11)
  • Vulnerability (4,503)
  • WateringHoleAttack (4)
  • Zero Trust (382)
  • _AI/ML (306)
  • _CDN (4)
  • _Cloud (364)
  • _Container (73)
  • _CryptCcurrency (40)
  • _Defence (162)
  • _Education (8)
  • _Finance (160)
  • _Government (1,037)
  • _HealthCare (47)
  • _Human (51)
  • _ICS (85)
  • _IDS/IPS (182)
  • _Industry (221)
  • _Infrastructure (129)
  • _Mobile (162)
  • _OpenSource (1,385)
  • _PLC (39)
  • _Regulation (158)
  • _Retail (76)
  • _RTOS (6)
  • _Space (26)
  • _Statistics (415)
  • _Storage (70)
  • _Telecom (77)
  • _Transportation (56)
  • Tracking
  • In The Era
  • CISA KEV
  • Security by Design
  • Statistics
  • About
IoT OT Security News Blog at WordPress.com.
  • Reblog
  • Subscribe Subscribed
    • IoT OT Security News
      • Join 170 other subscribers
    • Already have a WordPress.com account? Log in now.
    • IoT OT Security News
    • Subscribe Subscribed
    • Sign up
    • Log in
    • Copy shortlink
    • Report this content
    • View post in Reader
    • Manage subscriptions
    • Collapse this bar
 

Loading Comments...
 

You must be logged in to post a comment.

    %d