失効したログイン認証情報を使用してシステムの利用許可権限が与えられてしまうSAMLに関する重大な脆弱(ぜいじゃく)性の問題がSlackにおいて発見された。「Confused Deputy」と名付けられた問題の解決方法とは?
Slackの利用中にConfused Deputyと呼ばれる問題を発生させる、SAMLの重大な脆弱(ぜいじゃく)性をセキュリティ研究者が発見した。
Confused Deputyとは直訳すると「混乱した使節、代理人」となる。これは、実際の法執行機関の担当者が混乱していることではなく、アプリケーションがあるソフトウェアなどを実行する許可(権限)を得ている場合に、全く別のソフトウェアなどでも許可が取れてしまう事象を指す。
Confused Deputyは、シングルサインオンやID連携で利用される言語「Security Assertion Markup Language(SAML)」にも適用されるため、権限の悪用が可能になってしまう。
Adobe Systemsのセキュリティ研究者兼上級ソフトウェアエンジニアのアントニオ・サンソ氏が、SAMLを使用してWebサイトを検索しているときにConfused Deputy問題を発見した。Slackにログインを試みたとき、失効したはずのSAMLアサーション(表明)を使ってSlackにアクセスする権限が依然として与えられており、ログインに成功した。
Copyright © ITmedia, Inc. All Rights Reserved.
「TikTok禁止」は結局、誰得? どうするトランプ氏――2025年のSNS大予測(TikTok編)
米国での存続を巡る議論が続く一方で、アプリ内ショッピングやAI機能の拡大など、TikTok...
ネットの口コミを参考に8割超が商品を購入 最も参考にした口コミの掲載先は?
ホットリンクは、口コミ投稿の経験や購買への影響を調査した結果を発表した。
「生成AIの普及でSEOはオワコン」説は本当か?
生成AIの普及によりSEOが「オワコン」化するという言説を頻繁に耳にするようになりました...