ビール愛好家が攻撃の的に 「BrewDogモバイルアプリ」脆弱性とは何だったのかビールメーカーBrewDogは脆弱性にどう対処したのか【前編】

英国ビールメーカーBrewDogのモバイルアプリケーションに脆弱性が見つかった。個人情報の流出の恐れがあったこの脆弱性はどのようなものだったのか。発見の経緯とともに説明する。

2021年12月24日 08時15分 公開
[Alex ScroxtonTechTarget]

 英国ビールメーカーBrewDogは、同社のモバイルアプリケーションに脆弱(ぜいじゃく)性が見つかったため、同アプリケーションを更新した。この脆弱性によって、同社が運営するクラウドファンディングサイト「Equity for Punks」の利用者約20万人や同社顧客の個人情報が流出する恐れがあったという。

 対象の情報には氏名や生年月日、性別、メールアドレス、住所、電話番号、クラウドファンディングの出資者番号、ビール購入歴などが含まれていた。BrewDogによると、これらの情報は少なくとも18カ月間、アクセス可能になっていた。

URLの末尾を変えるだけで顧客情報が閲覧可能に なぜ、そうなっていたのか

 今回の脆弱性を発見したのは、サイバーセキュリティコンサルティングを手掛けるPen Test Partnersの調査員だ。同社によると、BrewDogのモバイルアプリケーションは、API(アプリケーションプログラミングインタフェース)認証用のベアラートークン(持参人トークン)を全てのユーザーに付与していた。ベアラートークンは通常、認証要求に成功した場合にのみ、特定ユーザーに付与するトークン(認証情報)だ。

 BrewDogのモバイルアプリケーションは、ベアラートークンをソースコードに埋め込んでいた。そのためユーザーはAPIエンドポイント(APIにアクセスするためのリソース)のURLの末尾に入れる顧客IDを変えることによって、他のユーザーの情報にアクセスできた。攻撃者が顧客IDを総当たりすれば、BrewDogのモバイルアプリケーションの全ての顧客情報を入手することも可能になっていたという。

 Pen Test PartnersとBrewDogは、顧客情報にアクセスされた痕跡はないと説明している。Pen Test PartnersはBrewDogに対し、徹底した調査を実施し、被害状況を詳細に確認することを求めている。BrewDogのモバイルアプリケーションの不備は今回問題になったベアラートークン以外にもあるとみて、アプリケーション開発プロセスの改善に取り組むべきだとも指摘している。

 「BrewDogにとっては、セキュリティ担当者が直接アプリケーション開発に関わったり、セキュリティリスクが発見された際に迅速に対策を講じたりするための体制づくりが急務だ」。Pen Test Partnersの調査員はこう言う。


 後編は、脆弱性の発見を受け、BrewDogはどう対処したかを見る。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

ITmedia マーケティング新着記事

news175.png

製造業の8割が既存顧客深耕に注力 最もリソースを割いている施策は?
ラクスは、製造業の営業・マーケティング担当者500人を対象に、新規開拓や既存深耕におけ...

news105.jpg

「生成AIで作った広告」が物議 そのとき、コカ・コーラはどう動いた?
生成AIを広告制作に活用し、議論を呼んだCoca-Cola。この経験から何を学んだのか。

news028.jpg

新規顧客獲得と既存顧客のLTV向上、それぞれのCRO(コンバージョン率最適化)について
連載第4回の今回は、新規顧客の獲得と既存顧客のLTV(顧客生涯価値)、それぞれのCRO(コ...