宿泊施設予約サイト「Booking.com」に脆弱性が見つかった。「Facebook」などのソーシャルメディアのアカウント経由でログインするためのプロトコル「OAuth」の実装に問題があったという。その危険性とは。
2023年3月、宿泊施設予約サイトBooking.comにおいて、権限を認可するためのプロトコル「OAuth」(Open Authorization)の実装に重大な脆弱(ぜいじゃく)性があることが発覚した。OAuthは、ソーシャルメディアのアカウントを介してさまざまなWebサイトにログインすることを可能にする方法として普及している。その実装の何が問題だったのか。
調査を実施したのは、API(アプリケーションプログラミングインタフェース)セキュリティベンダーSalt Secutiryの研究部門であるSalt Labsだ。調査員は、Booking.comの認可処理中における特定の操作を改変することにより、ログインセッションを乗っ取って正規ユーザーになりすますことができることを発見した。これにより攻撃者は、個人を特定する情報をはじめ機密データを漏えいさせたり、宿泊施設の予約やキャンセルといったアクションをユーザーの代わりに実行したりすることが可能になる。
Salt Labsによると、ソーシャルネットワーキングサービス(SNS)「Facebook」のアカウントを介してBooking.comにログインするように設定しているユーザーは、誰でも被害に遭う可能性がある。Facebookアカウントによるログインの人気と、Booking.comの利用者数を考えると、悪用が成功した場合「数百万人が影響を受ける恐れがあった」とSalt Labsは見積もる。攻撃者は盗んだBooking.comのアカウントを悪用して、Booking.comの傘下にある旅行情報比較サイトKAYAKのユーザーアカウントにもログインできたことを考えると、事態はさらに深刻だ。
「OAuthはあっという間に業界標準となり、世界中のWebサービスが利用している」とSalt Securityのリサーチ担当バイスプレジデントであるヤニブ・バルマス氏は述べる。そのためAPIの取り扱いミスは、機密データを悪意のある者にさらし、企業と顧客の双方に重大な影響を与える原因になりかねない。「脆弱性はどのWebサイトにも存在し得る。急速に普及した結果、大半の企業が自分のWebサービスに潜む無数のセキュリティリスクに気付かないままでいる」とバルマス氏は指摘する。
次回は、Salt LabsとBooking.com運用元が脆弱性をどのように修正したのかを紹介する。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
