Researchers Exploit OAuth Misconfigurations to Gain Unrestricted Access to Sensitive Data
2025/04/30 gbhackers — 先日に実施された YesWeHack バグ・バウンティ・キャンペーンにおいて、OAuth2 認証情報のミスコンフィグに起因する深刻な脆弱性が、あるセキュリティ研究者により発見された。Web アプリケーションを詳細に分析した結果として、この認証フレームワークにおける些細な見落としが深刻なリスクをもたらすという、驚くべき状況が明らかになった。
この研究者は、公開された OAuth のクライアント ID とシークレットを利用することで、氏名/メールアドレス/電話番号/ビジネスデータといった、個人識別情報 (PII:personally identifiable information) を取り込んだ、機密性の高いユーザー・データへの不正アクセスに成功した。
このインシデントが浮き彫りにするのは、安全な認証の基盤として OAuth2 が認められている、現代の Web アーキテクチャにおける、堅固なコンフィグ・プラクティスの重要性である。
ミスコンフィグから大規模なデータ漏洩へ
この脆弱性は、Web ブラウザなどの基本的なツールや、Burp Suite のプロキシなどを用いて、アクセス権を持たないアプリケーションを、綿密に調査した結果として発見されたものだ。
この研究者は、あるエンドポイント (https://TARGET/api/v1/configuration) への XHR リクエストを特定した。このリクエストは、Client Credentials Grant ワークフロー用の、OAuth2 クライアント認証情報を誤って開示していた。
クライアント ID とシークレットで構成される、これらの認証情報は、認可サーバのトークン・エンドポイント (/auth/oauth2.0/v1/access_token) からアクセス・トークンを取得するために使用されていた。
このトークンを入手した研究者は、静的 API キーと Bearer トークンを Authorizationヘッダーに組み込むことで、保護されたエンドポイントへの認証済み API コールを作成した。そして、得られた API レスポンスには、大量の機密データが含まれており、このアクセス制御メカニズムには重大な欠陥が存在することが露呈した。
さらに調査を進めると、より深刻な問題が明らかになった。この API エンドポイントにはレート制限が存在しないのだ。したがって、GET リクエスト内の単純な数値 ID パラメータで、ブルートフォース攻撃を仕掛けることで、膨大な量の個人情報 (PII) とビジネス・クリティカルな情報を、制限なく抽出することができたという。
この研究者は、PUT メソッドや DELETE メソッドを用いた、実稼働システムに対する破壊的テストは控えているが、さらに影響が大きくなる可能性があることを指摘し、バグ・ハンティングにおける倫理的境界の重要性を強調している。
この事例は、特にフロントエンド/バックエンド・サービスやサードパーティ API が、複数のドメインにまたがって相互接続される分散アーキテクチャにおいて、小さなミスコンフィグが、どのようにして壊滅的な侵害へと連鎖的に発展していくかを例示している。
今回の調査結果は、OAuth2 の実装の複雑さを、改めて認識させてくれる。堅牢な設計が施されているが、OAuth2 がエラーの温床となることが多い。
バグ・ハンターとセキュリティ・チームにとって必要なことは、JavaScript ファイルや XHR/fetch リクエスト、そして複雑なバックエンド・プロセスを示唆する高遅延レスポンスといった微妙な兆候などを取り込んだ、徹底的なトラフィック分析を優先することである。
さらに、このインシデントが明らかにするのは、アプリケーション挙動に対する深い理解と、露出する認証情報のスコープと権限の綿密な検証の必要性である。
この研究者が助言するように、この脆弱性の発見が成功した背景には、自動化ツールだけに頼らない、コンテキストに基づく体系的な分析がある。
ユーザー組織の視点からは、開発段階からセキュリティ・ファーストの考え方を採用し、認証ワークフローを定期的に監査することで、このようなリスクを回避すべきとなる。
今回の侵害は、倫理的ハッキングにとっての勝利と言える一方で、ミスコンフィグに起因する脅威からデジタル・エコシステムを守るために、警戒を強化すべきというスタンスを改めて示すものである。
OAuth にミスコンフィグの脆弱性が発見されました。2025/03/16 に投稿した 「Adobe/DocuSign アプリの OAuth リクエストに要注意」や、2024/12/27 の「Cisco から盗まれたデータ:IntelBroker がサンプルを公開」にもある通り、こうしたミスコンフィグを狙った攻撃が、いくつか報告されています。開発者の方々は、十分にご注意ください。よろしければ、以下の関連記事も、OAuth で検索/MisConfigurationで検索と併せて、ご参照ください。
2025/03/03:AWS のミスコンフィグを狙う未知の脅威アクター
2025/01/28:航空/旅行システムの OAuth 認証に脆弱性
2025/01/14:“Sign in with Google” に深刻な問題
IoT OT Security News 
You must be logged in to post a comment.