Booking.comの「Facebookでログイン」に実装ミス 起こり得た最悪の事態とはAPIの取り扱いミスが引き起こす問題【前編】

宿泊施設予約サイト「Booking.com」に脆弱性が見つかった。「Facebook」などのソーシャルメディアのアカウント経由でログインするためのプロトコル「OAuth」の実装に問題があったという。その危険性とは。

2023年05月05日 05時00分 公開

関連キーワード

API | セキュリティ | 脆弱性


 2023年3月、宿泊施設予約サイトBooking.comにおいて、権限を認可するためのプロトコル「OAuth」(Open Authorization)の実装に重大な脆弱(ぜいじゃく)性があることが発覚した。OAuthは、ソーシャルメディアのアカウントを介してさまざまなWebサイトにログインすることを可能にする方法として普及している。その実装の何が問題だったのか。

「便利なOAuth」だからこそ招いた危険

 調査を実施したのは、API(アプリケーションプログラミングインタフェース)セキュリティベンダーSalt Secutiryの研究部門であるSalt Labsだ。調査員は、Booking.comの認可処理中における特定の操作を改変することにより、ログインセッションを乗っ取って正規ユーザーになりすますことができることを発見した。これにより攻撃者は、個人を特定する情報をはじめ機密データを漏えいさせたり、宿泊施設の予約やキャンセルといったアクションをユーザーの代わりに実行したりすることが可能になる。

 Salt Labsによると、ソーシャルネットワーキングサービス(SNS)「Facebook」のアカウントを介してBooking.comにログインするように設定しているユーザーは、誰でも被害に遭う可能性がある。Facebookアカウントによるログインの人気と、Booking.comの利用者数を考えると、悪用が成功した場合「数百万人が影響を受ける恐れがあった」とSalt Labsは見積もる。攻撃者は盗んだBooking.comのアカウントを悪用して、Booking.comの傘下にある旅行情報比較サイトKAYAKのユーザーアカウントにもログインできたことを考えると、事態はさらに深刻だ。

 「OAuthはあっという間に業界標準となり、世界中のWebサービスが利用している」とSalt Securityのリサーチ担当バイスプレジデントであるヤニブ・バルマス氏は述べる。そのためAPIの取り扱いミスは、機密データを悪意のある者にさらし、企業と顧客の双方に重大な影響を与える原因になりかねない。「脆弱性はどのWebサイトにも存在し得る。急速に普及した結果、大半の企業が自分のWebサービスに潜む無数のセキュリティリスクに気付かないままでいる」とバルマス氏は指摘する。


 次回は、Salt LabsとBooking.com運用元が脆弱性をどのように修正したのかを紹介する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news098.jpg

食品の高値安定傾向はどこまで続く?――インテージ調査
全国約6000店舗より収集している「SRI+(全国小売店パネル調査)」を基に実施した食品や...

news028.jpg

インターネット広告の新しいKPIと「アテンション」の再定義
最終回となる今回は、ターゲットに届いた広告の効果を正しく測定するための指標として「...

news158.png

売れるネット広告社、「売れるD2Cつくーる」にLP自動生成機能を追加
売れるネット広告社が「売れるD2Cつくーる」に、新たに「ランディングページ自動生成(AI...