英国ビールメーカーBrewDogのモバイルアプリケーションに脆弱性が見つかった。個人情報の流出の恐れがあったこの脆弱性はどのようなものだったのか。発見の経緯とともに説明する。
英国ビールメーカーBrewDogは、同社のモバイルアプリケーションに脆弱(ぜいじゃく)性が見つかったため、同アプリケーションを更新した。この脆弱性によって、同社が運営するクラウドファンディングサイト「Equity for Punks」の利用者約20万人や同社顧客の個人情報が流出する恐れがあったという。
対象の情報には氏名や生年月日、性別、メールアドレス、住所、電話番号、クラウドファンディングの出資者番号、ビール購入歴などが含まれていた。BrewDogによると、これらの情報は少なくとも18カ月間、アクセス可能になっていた。
今回の脆弱性を発見したのは、サイバーセキュリティコンサルティングを手掛けるPen Test Partnersの調査員だ。同社によると、BrewDogのモバイルアプリケーションは、API(アプリケーションプログラミングインタフェース)認証用のベアラートークン(持参人トークン)を全てのユーザーに付与していた。ベアラートークンは通常、認証要求に成功した場合にのみ、特定ユーザーに付与するトークン(認証情報)だ。
BrewDogのモバイルアプリケーションは、ベアラートークンをソースコードに埋め込んでいた。そのためユーザーはAPIエンドポイント(APIにアクセスするためのリソース)のURLの末尾に入れる顧客IDを変えることによって、他のユーザーの情報にアクセスできた。攻撃者が顧客IDを総当たりすれば、BrewDogのモバイルアプリケーションの全ての顧客情報を入手することも可能になっていたという。
Pen Test PartnersとBrewDogは、顧客情報にアクセスされた痕跡はないと説明している。Pen Test PartnersはBrewDogに対し、徹底した調査を実施し、被害状況を詳細に確認することを求めている。BrewDogのモバイルアプリケーションの不備は今回問題になったベアラートークン以外にもあるとみて、アプリケーション開発プロセスの改善に取り組むべきだとも指摘している。
「BrewDogにとっては、セキュリティ担当者が直接アプリケーション開発に関わったり、セキュリティリスクが発見された際に迅速に対策を講じたりするための体制づくりが急務だ」。Pen Test Partnersの調査員はこう言う。
後編は、脆弱性の発見を受け、BrewDogはどう対処したかを見る。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
