ビール愛好家が攻撃の的に 「BrewDogモバイルアプリ」脆弱性とは何だったのかビールメーカーBrewDogは脆弱性にどう対処したのか【前編】

英国ビールメーカーBrewDogのモバイルアプリケーションに脆弱性が見つかった。個人情報の流出の恐れがあったこの脆弱性はどのようなものだったのか。発見の経緯とともに説明する。

2021年12月24日 08時15分 公開
[Alex ScroxtonTechTarget]

 英国ビールメーカーBrewDogは、同社のモバイルアプリケーションに脆弱(ぜいじゃく)性が見つかったため、同アプリケーションを更新した。この脆弱性によって、同社が運営するクラウドファンディングサイト「Equity for Punks」の利用者約20万人や同社顧客の個人情報が流出する恐れがあったという。

 対象の情報には氏名や生年月日、性別、メールアドレス、住所、電話番号、クラウドファンディングの出資者番号、ビール購入歴などが含まれていた。BrewDogによると、これらの情報は少なくとも18カ月間、アクセス可能になっていた。

URLの末尾を変えるだけで顧客情報が閲覧可能に なぜ、そうなっていたのか

 今回の脆弱性を発見したのは、サイバーセキュリティコンサルティングを手掛けるPen Test Partnersの調査員だ。同社によると、BrewDogのモバイルアプリケーションは、API(アプリケーションプログラミングインタフェース)認証用のベアラートークン(持参人トークン)を全てのユーザーに付与していた。ベアラートークンは通常、認証要求に成功した場合にのみ、特定ユーザーに付与するトークン(認証情報)だ。

 BrewDogのモバイルアプリケーションは、ベアラートークンをソースコードに埋め込んでいた。そのためユーザーはAPIエンドポイント(APIにアクセスするためのリソース)のURLの末尾に入れる顧客IDを変えることによって、他のユーザーの情報にアクセスできた。攻撃者が顧客IDを総当たりすれば、BrewDogのモバイルアプリケーションの全ての顧客情報を入手することも可能になっていたという。

 Pen Test PartnersとBrewDogは、顧客情報にアクセスされた痕跡はないと説明している。Pen Test PartnersはBrewDogに対し、徹底した調査を実施し、被害状況を詳細に確認することを求めている。BrewDogのモバイルアプリケーションの不備は今回問題になったベアラートークン以外にもあるとみて、アプリケーション開発プロセスの改善に取り組むべきだとも指摘している。

 「BrewDogにとっては、セキュリティ担当者が直接アプリケーション開発に関わったり、セキュリティリスクが発見された際に迅速に対策を講じたりするための体制づくりが急務だ」。Pen Test Partnersの調査員はこう言う。


 後編は、脆弱性の発見を受け、BrewDogはどう対処したかを見る。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news068.jpg

社会人1年目と2年目の意識調査2024 「出世したいと思わない」社会人1年生は44%、2年生は53%
ソニー生命保険が毎年実施している「社会人1年目と2年目の意識調査」の2024年版の結果です。

news202.jpg

KARTEに欲しい機能をAIの支援の下で開発 プレイドが「KARTE Craft」の一般提供を開始
サーバレスでKARTEに欲しい機能を、AIの支援の下で開発できる。

news136.png

ジェンダーレス消費の実態 男性向けメイクアップ需要が伸長
男性の間で美容に関する意識が高まりを見せています。カタリナ マーケティング ジャパン...