Booking.comの「Facebookでログイン」に実装ミス 起こり得た最悪の事態とは：APIの取り扱いミスが引き起こす問題【前編】

宿泊施設予約サイト「Booking.com」に脆弱性が見つかった。「Facebook」などのソーシャルメディアのアカウント経由でログインするためのプロトコル「OAuth」の実装に問題があったという。その危険性とは。

[Sebastian Klovig Skelton，TechTarget]

　2023年3月、宿泊施設予約サイトBooking.comにおいて、権限を認可するためのプロトコル「OAuth」（Open Authorization）の実装に重大な脆弱（ぜいじゃく）性があることが発覚した。OAuthは、ソーシャルメディアのアカウントを介してさまざまなWebサイトにログインすることを可能にする方法として普及している。その実装の何が問題だったのか。

「便利なOAuth」だからこそ招いた危険

併せて読みたいお薦め記事

危険なAPI

• 犯罪者に狙われ始めた「API」　その笑えない理由
• 「危ない『API』」はこうして生まれる

　調査を実施したのは、API（アプリケーションプログラミングインタフェース）セキュリティベンダーSalt Secutiryの研究部門であるSalt Labsだ。調査員は、Booking.comの認可処理中における特定の操作を改変することにより、ログインセッションを乗っ取って正規ユーザーになりすますことができることを発見した。これにより攻撃者は、個人を特定する情報をはじめ機密データを漏えいさせたり、宿泊施設の予約やキャンセルといったアクションをユーザーの代わりに実行したりすることが可能になる。

　Salt Labsによると、ソーシャルネットワーキングサービス（SNS）「Facebook」のアカウントを介してBooking.comにログインするように設定しているユーザーは、誰でも被害に遭う可能性がある。Facebookアカウントによるログインの人気と、Booking.comの利用者数を考えると、悪用が成功した場合「数百万人が影響を受ける恐れがあった」とSalt Labsは見積もる。攻撃者は盗んだBooking.comのアカウントを悪用して、Booking.comの傘下にある旅行情報比較サイトKAYAKのユーザーアカウントにもログインできたことを考えると、事態はさらに深刻だ。

　「OAuthはあっという間に業界標準となり、世界中のWebサービスが利用している」とSalt Securityのリサーチ担当バイスプレジデントであるヤニブ・バルマス氏は述べる。そのためAPIの取り扱いミスは、機密データを悪意のある者にさらし、企業と顧客の双方に重大な影響を与える原因になりかねない。「脆弱性はどのWebサイトにも存在し得る。急速に普及した結果、大半の企業が自分のWebサービスに潜む無数のセキュリティリスクに気付かないままでいる」とバルマス氏は指摘する。

---

　次回は、Salt LabsとBooking.com運用元が脆弱性をどのように修正したのかを紹介する。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。