2018年01月30日 05時00分 公開
特集/連載

ホワイトハットハッカーを有効活用失効したユーザーでもログイン可能、Slackも影響を受けたSAMLの脆弱性とは?

失効したログイン認証情報を使用してシステムの利用許可権限が与えられてしまうSAMLに関する重大な脆弱(ぜいじゃく)性の問題がSlackにおいて発見された。「Confused Deputy」と名付けられた問題の解決方法とは?

[Matthew Pascucci,TechTarget]
画像 情報を共有し、素早い解決を目指す。

 Slackの利用中にConfused Deputyと呼ばれる問題を発生させる、SAMLの重大な脆弱(ぜいじゃく)性をセキュリティ研究者が発見した。

 Confused Deputyとは直訳すると「混乱した使節、代理人」となる。これは、実際の法執行機関の担当者が混乱していることではなく、アプリケーションがあるソフトウェアなどを実行する許可(権限)を得ている場合に、全く別のソフトウェアなどでも許可が取れてしまう事象を指す。

 Confused Deputyは、シングルサインオンやID連携で利用される言語「Security Assertion Markup Language(SAML)」にも適用されるため、権限の悪用が可能になってしまう。

 Adobe Systemsのセキュリティ研究者兼上級ソフトウェアエンジニアのアントニオ・サンソ氏が、SAMLを使用してWebサイトを検索しているときにConfused Deputy問題を発見した。Slackにログインを試みたとき、失効したはずのSAMLアサーション(表明)を使ってSlackにアクセスする権限が依然として与えられており、ログインに成功した。

SAML脆弱性が引き起こす脅威

この記事を読んだ人にお薦めの関連記事

注目テーマ

ITmedia マーケティング新着記事

news021.jpg

ゴールデンウイーク前後における日本人のオンライン購買行動はこうなる──Criteo調査
Criteoは、大型連休前後の日本人のオンライン購買傾向をまとめた「2018年度 ゴールデンウ...

news025.jpg

博報堂DYメディアパートナーズとエイベックス・マネジメント、VR映像によるブランデッドムービー制作で協業
博報堂DYメディアパートナーズはエイベックス・マネジメントと共同で、VR映像によるブラ...

news059.jpg

売れるネット広告社、テレビCMや新聞広告でもA/Bテストを可能とするサービスを無料で提供
売れるネット広告社は、テレビCMや新聞広告の広告クリエイティブにおいてネット広告同様...