英国ビールメーカーBrewDogのモバイルアプリケーションに脆弱性が見つかった。個人情報の流出の恐れがあったこの脆弱性はどのようなものだったのか。発見の経緯とともに説明する。
英国ビールメーカーBrewDogは、同社のモバイルアプリケーションに脆弱(ぜいじゃく)性が見つかったため、同アプリケーションを更新した。この脆弱性によって、同社が運営するクラウドファンディングサイト「Equity for Punks」の利用者約20万人や同社顧客の個人情報が流出する恐れがあったという。
対象の情報には氏名や生年月日、性別、メールアドレス、住所、電話番号、クラウドファンディングの出資者番号、ビール購入歴などが含まれていた。BrewDogによると、これらの情報は少なくとも18カ月間、アクセス可能になっていた。
今回の脆弱性を発見したのは、サイバーセキュリティコンサルティングを手掛けるPen Test Partnersの調査員だ。同社によると、BrewDogのモバイルアプリケーションは、API(アプリケーションプログラミングインタフェース)認証用のベアラートークン(持参人トークン)を全てのユーザーに付与していた。ベアラートークンは通常、認証要求に成功した場合にのみ、特定ユーザーに付与するトークン(認証情報)だ。
BrewDogのモバイルアプリケーションは、ベアラートークンをソースコードに埋め込んでいた。そのためユーザーはAPIエンドポイント(APIにアクセスするためのリソース)のURLの末尾に入れる顧客IDを変えることによって、他のユーザーの情報にアクセスできた。攻撃者が顧客IDを総当たりすれば、BrewDogのモバイルアプリケーションの全ての顧客情報を入手することも可能になっていたという。
Pen Test PartnersとBrewDogは、顧客情報にアクセスされた痕跡はないと説明している。Pen Test PartnersはBrewDogに対し、徹底した調査を実施し、被害状況を詳細に確認することを求めている。BrewDogのモバイルアプリケーションの不備は今回問題になったベアラートークン以外にもあるとみて、アプリケーション開発プロセスの改善に取り組むべきだとも指摘している。
「BrewDogにとっては、セキュリティ担当者が直接アプリケーション開発に関わったり、セキュリティリスクが発見された際に迅速に対策を講じたりするための体制づくりが急務だ」。Pen Test Partnersの調査員はこう言う。
後編は、脆弱性の発見を受け、BrewDogはどう対処したかを見る。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
サービスアカウントによる特権アクセスの管理に頭を悩ませるセキュリティ担当者は少なくないだろう。重要なシステムやデータを守るには、こうした特権アクセスを適切に管理し、アカウントを保護することが求められる。
サービスアカウントの悪用や誤用が問題になっている。システムやアプリケーションへのアクセスに特別な権限を有しているだけに、悪用されれば大きな被害につながる可能性もある。管理・保護のベストプラクティスをチェックしよう。
eコマースの登場以降、デジタル決済の選択肢は急速に広がり、利用者の利便性は飛躍的に高まった。一方で、それぞれの決済方法を利用するユーザーを標的とした金融犯罪や不正行為も爆発的に増加している。どう防げばよいのだろうか。
金融サービス業界において、金融犯罪を防ぐための対策は不可欠だ。デジタルサービスが増え、システムが複雑化する中で、どう対策を実践していくか。取引詐欺やマネーロンダリングなど4つのシーンを取り上げ、具体的な対策を解説する。
クラウドシフトが進み、リモートワークも普及した現代のIT環境で重要性が高まっているのが、ゼロトラストに基づくセキュリティ対策だ。その新たなアプローチとして、ブラウザベースの手法が注目されている。どういった手法なのか。
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。