ビール愛好家が攻撃の的に 「BrewDogモバイルアプリ」脆弱性とは何だったのか：ビールメーカーBrewDogは脆弱性にどう対処したのか【前編】

英国ビールメーカーBrewDogのモバイルアプリケーションに脆弱性が見つかった。個人情報の流出の恐れがあったこの脆弱性はどのようなものだったのか。発見の経緯とともに説明する。

[Alex Scroxton，TechTarget]

　英国ビールメーカーBrewDogは、同社のモバイルアプリケーションに脆弱（ぜいじゃく）性が見つかったため、同アプリケーションを更新した。この脆弱性によって、同社が運営するクラウドファンディングサイト「Equity for Punks」の利用者約20万人や同社顧客の個人情報が流出する恐れがあったという。

　対象の情報には氏名や生年月日、性別、メールアドレス、住所、電話番号、クラウドファンディングの出資者番号、ビール購入歴などが含まれていた。BrewDogによると、これらの情報は少なくとも18カ月間、アクセス可能になっていた。

URLの末尾を変えるだけで顧客情報が閲覧可能に　なぜ、そうなっていたのか

　今回の脆弱性を発見したのは、サイバーセキュリティコンサルティングを手掛けるPen Test Partnersの調査員だ。同社によると、BrewDogのモバイルアプリケーションは、API（アプリケーションプログラミングインタフェース）認証用のベアラートークン（持参人トークン）を全てのユーザーに付与していた。ベアラートークンは通常、認証要求に成功した場合にのみ、特定ユーザーに付与するトークン（認証情報）だ。

　BrewDogのモバイルアプリケーションは、ベアラートークンをソースコードに埋め込んでいた。そのためユーザーはAPIエンドポイント（APIにアクセスするためのリソース）のURLの末尾に入れる顧客IDを変えることによって、他のユーザーの情報にアクセスできた。攻撃者が顧客IDを総当たりすれば、BrewDogのモバイルアプリケーションの全ての顧客情報を入手することも可能になっていたという。

併せて読みたいお薦め記事

脆弱性の知識を深めるには

• 意外？　「データベースの脆弱性を最も放置している国」が判明
• クラウドサービスの脆弱性に「CVE」がない“なるほどの理由”

　Pen Test PartnersとBrewDogは、顧客情報にアクセスされた痕跡はないと説明している。Pen Test PartnersはBrewDogに対し、徹底した調査を実施し、被害状況を詳細に確認することを求めている。BrewDogのモバイルアプリケーションの不備は今回問題になったベアラートークン以外にもあるとみて、アプリケーション開発プロセスの改善に取り組むべきだとも指摘している。

　「BrewDogにとっては、セキュリティ担当者が直接アプリケーション開発に関わったり、セキュリティリスクが発見された際に迅速に対策を講じたりするための体制づくりが急務だ」。Pen Test Partnersの調査員はこう言う。

---

　後編は、脆弱性の発見を受け、BrewDogはどう対処したかを見る。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。