Booking.comの「Facebookでログイン」に実装ミス 起こり得た最悪の事態とはAPIの取り扱いミスが引き起こす問題【前編】

宿泊施設予約サイト「Booking.com」に脆弱性が見つかった。「Facebook」などのソーシャルメディアのアカウント経由でログインするためのプロトコル「OAuth」の実装に問題があったという。その危険性とは。

2023年05月05日 05時00分 公開

関連キーワード

API | セキュリティ | 脆弱性


 2023年3月、宿泊施設予約サイトBooking.comにおいて、権限を認可するためのプロトコル「OAuth」(Open Authorization)の実装に重大な脆弱(ぜいじゃく)性があることが発覚した。OAuthは、ソーシャルメディアのアカウントを介してさまざまなWebサイトにログインすることを可能にする方法として普及している。その実装の何が問題だったのか。

「便利なOAuth」だからこそ招いた危険

会員登録(無料)が必要です

 調査を実施したのは、API(アプリケーションプログラミングインタフェース)セキュリティベンダーSalt Secutiryの研究部門であるSalt Labsだ。調査員は、Booking.comの認可処理中における特定の操作を改変することにより、ログインセッションを乗っ取って正規ユーザーになりすますことができることを発見した。これにより攻撃者は、個人を特定する情報をはじめ機密データを漏えいさせたり、宿泊施設の予約やキャンセルといったアクションをユーザーの代わりに実行したりすることが可能になる。

 Salt Labsによると、ソーシャルネットワーキングサービス(SNS)「Facebook」のアカウントを介してBooking.comにログインするように設定しているユーザーは、誰でも被害に遭う可能性がある。Facebookアカウントによるログインの人気と、Booking.comの利用者数を考えると、悪用が成功した場合「数百万人が影響を受ける恐れがあった」とSalt Labsは見積もる。攻撃者は盗んだBooking.comのアカウントを悪用して、Booking.comの傘下にある旅行情報比較サイトKAYAKのユーザーアカウントにもログインできたことを考えると、事態はさらに深刻だ。

 「OAuthはあっという間に業界標準となり、世界中のWebサービスが利用している」とSalt Securityのリサーチ担当バイスプレジデントであるヤニブ・バルマス氏は述べる。そのためAPIの取り扱いミスは、機密データを悪意のある者にさらし、企業と顧客の双方に重大な影響を与える原因になりかねない。「脆弱性はどのWebサイトにも存在し得る。急速に普及した結果、大半の企業が自分のWebサービスに潜む無数のセキュリティリスクに気付かないままでいる」とバルマス氏は指摘する。

 次回は、Salt LabsとBooking.com運用元が脆弱性をどのように修正したのかを紹介する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

TechTargetジャパン トップ セキュリティ

新着ホワイトペーパー

市場調査・トレンド Keeper Security APAC株式会社

調査から見えた、特権アクセス管理(PAM)の重要性と効果的な運用方法

クレデンシャル情報を悪用する攻撃から組織を防衛するために、特権アクセス管理(PAM)は不可欠だ。その導入で成果を挙げている組織と、そうではない組織との違いはどこにあるのだろうか。グローバル調査の結果から読み解く。

市場調査・トレンド Keeper Security APAC株式会社

パスワードでは対抗できない? 高度化する脅威に対応するための認証戦略とは

従来、認証にはパスワードが用いられてきたが、フィッシングなどの高度な攻撃に対抗するのは難しくなりつつある。そこで注目されているのが利便性と安全性を兼ね備えたパスキーだ。本資料では、その移行戦略について詳しく解説する。

製品資料 株式会社エーアイセキュリティラボ

生成AI時代も欠かせないWebアプリの脆弱性対策、手間をかけずに行う方法とは?

Webアプリケーション開発において生成AIを活用する上で、欠かせないのがセキュリティ対策だ。しかし、AIを悪用する高度な攻撃にだけ注力し、既存の脆弱性への対策をおろそかにしているケースは多い。この問題を解決するには、何が必要か。

市場調査・トレンド ラピッドセブン・ジャパン株式会社

インシデント対応の自動化率はわずか16%、調査で見えた停滞の原因と解決策とは

AIや自動化の波はセキュリティ対策にも訪れているものの、ある調査によれば、「脅威やインシデント対応のプロセスを完全に自動化できている」と回答した担当者は16%にとどまっており、停滞している実態がある。その原因と解決策を探る。

市場調査・トレンド ラピッドセブン・ジャパン株式会社

セキュリティ製品の乱立を解消し、ベンダーを統合すべき理由とは?

近年、多くの組織が多数のセキュリティ製品をパッチワーク的に導入している。その結果、運用が複雑化し、非効率な状況が生まれてしまった。このような状況を改善するためには、セキュリティベンダーを統合することが必要だ。

会員登録(無料)

8000点以上の技術資料や導入事例など、IT導入の課題解決に役立つ情報を入手できます。

アイティメディアからのお知らせ

From Informa TechTarget

なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか

なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。

アクセスランキング

2025/08/19 UPDATE

  1. SharePointの欠陥「パッチで防げず」 ランサムウェア攻撃で“死角”が露呈
  2. 「旧式プリンタ」は無害どころか致命的 放置された“まさかの脆弱性”
  3. GoogleもGitHubも“汚染”される? 「正規サービス悪用型」攻撃の恐怖
  4. Chromeのゼロデイ脆弱性「型混乱」とは? Web閲覧だけでPC乗っ取りの危険性
  5. 「AIモデル泥棒」のデータ漏えいでは済まない“真の恐ろしさ”とは
  6. 「身代金を支払う」以外のランサムウェア対策は本当にあるのか?
  7. 社員もクラウドもAIも侵入口に……「ID境界」の“7大リスク”と守り方
  8. 防御の境界はもうネットワークではなく「アイデンティティー」である必然の理由
  9. 本当に安全な「多要素認証」とは? MFA基本要素と巧妙化する攻撃への対抗手段
  10. 「自社にシャドーAIはない」は危険な思い込み? 現場発AIが生む脅威の正体

プレミアムコンテンツ

Windows 10「なぜか遅い」はあれが原因だった?

Windows 10「なぜか遅い」はあれが原因だった? ダウンロード
» プレミアムコンテンツライブラリへ

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

ログイン
会員登録
パスワード再設定
よくあるご質問
TechTargetジャパンとは
お問い合わせ
広告掲載について
利用規約
サイトマップ
初めての方