2025/05/28 TheHackerNews — Microsoft の OneDrive File Picker に存在するセキュリティ上の脆弱性を、サイバーセキュリティ研究者が発見した。この脆弱性が悪用されると、Web サイトに対して不正な権限が付与され、ツール経由でアクセスされるアップロード・ファイルだけではなく、対象となるユーザーが関与するクラウド・ストレージ全体へのアクセスが可能になるという。
Oasis Research Team は、「この問題は、OAuth スコープが過度に広範であること、そして、アクセス権限の範囲を明示しない、誤解を招く同意画面に原因がある。この脆弱性により、顧客データ漏洩/コンプライアンス規制違反などの、深刻な影響が生じる可能性がある」と、 The Hacker News に共有した報告書の中で警告している。
この脆弱性の影響は、広範に及ぶと見られている。具体的には、Microsoft のクラウド・サービスと統合される ChatGPT/Slack/Trello/ClickUp などの、複数のアプリケーションが影響を受ける可能性がある。
さらに問題なのは、ファイル・アップロード前にユーザーに提示される、同意プロンプトの記述が曖昧であり、付与されるアクセス権限の範囲を適切に伝えていない点である。その結果として、どの程度のセキュリティ・リスクに晒されているのかを、ユーザー自身が認識できない可能性がある。
Oasis は、「OAuth スコープにおける粒度の欠如により、すべてのファイルを標的とする悪意のアプリと、技術的制約から過剰な権限を要求せざるを得ない正当なアプリを、ユーザー側で区別することは困難である」と指摘している。
また、同チームは、アクセス認証に使用される OAuth トークンが、不適切に扱われている点も指摘している。具体的には、これらのトークンが、ブラウザのセッション・ストレージ内に平文で保存されていると述べている。
さらに潜在的なリスクとして挙げられるのは、認証ワークフローにリフレッシュ・トークンの発行が含まれる場合に、カレントのアクセス・トークンの失効後も、アプリケーションがユーザーに再認証を求めずに、新たなトークンの取得を許し、ユーザー・データへの継続的なアクセスが可能になる点だ。
Microsoft は責任ある開示を受け、この問題の存在を認めたが、現時点において修正は実施されていない。安全な代替手段が提供されるまで、当面の対策としてユーザーに対して強く推奨されるのは、OAuth 経由での OneDrive へのファイル・アップロード機能を、一時的に無効化することである。あるいは、リフレッシュ・トークンの使用を避け、アクセス・トークンを安全な手段で保管し、不要となった時点で削除することが推奨される。
The Hacker News は、本件に関してMicrosoft に追加のコメントを求めており、回答が得られ次第、記事を更新する。
Oasis は、「OAuth スコープの粒度の欠如に加え、Microsoft の同意プロンプトの曖昧さは、個人/企業ユーザーにとって重大なリスクである」と指摘している。
さらに同チームは、「この発見が浮き彫りにするのは、OAuth スコープ管理の継続的な監視/定期的なセキュリティ評価/プロアクティブなモニタリングが、ユーザー・データを保護する上で重要になる点だ」と結論づけている。
冒頭のツカミ部分が分かりにくいですが、OAuth スコープの粒度の欠如と、Microsoft の同意プロンプトの曖昧さにより、想定した範囲を超えてのアクセスが可能になってしまうようです。Oasis が指摘するのは、OAuth 経由での OneDrive へのファイル・アップロード機能を、一時的に無効化することが必要だという点です。それを、Microsoft が、その程度まで認めるのかどうか、そのあたりが注目されます。2025/05/22 の「Windows Server 2025 の未修正の脆弱性 BadSuccessor:パッチ適用前の PoC 公開」でも、Akamai とバチバチでした。
IoT OT Security News 
You must be logged in to post a comment.