ソーシャルメディア連携ログインに脆弱性 Booking.comはどう乗り越えた?APIの取り扱いミスが引き起こす問題【中編】

宿泊施設予約サイト「Booking.com」で、ソーシャルメディアのアカウントによるログイン機能に深刻な脆弱性が見つかった。実際に被害が判明する前に対処を完了させた、サイト運営元と発見者の行動とは。

2023年05月11日 05時00分 公開

関連キーワード

API | セキュリティ | 脆弱性


 アクセス権限を認可するプロトコル「OAuth」(Open Authorization)は、Webサイトにソーシャルメディアのアカウントを介してログインすることを可能にする標準規格として普及している。

 宿泊施設予約サイトBooking.comは、OAuthを利用するWebサイトの一つだ。2023年3月、Booking.comにおけるOAuthの実装に重大な脆弱(ぜいじゃく)性があることが発覚した。Booking.comの運営元であるBooking.com社は、この問題にどう対処したのか。

痛みを教訓に変えたBooking.com

 この脆弱性を発見したのは、API(アプリケーションプログラミングインタフェース)セキュリティベンダーSalt Secutiryの研究部門であるSalt Labsだ。Salt Labsは、Booking.comと連携して脆弱性を開示し、その後全ての脆弱性を修正した。攻撃者が実際にこの脆弱性を悪用した形跡は、2023年3月時点で見つかっていない。

 Salt Securityからの報告を受け、Booking.com社はすぐに脆弱性を調査した。その後Booking.comへの被害がないことを確認してから、脆弱性を素早く修正したという。今回の脆弱性発覚に際して、Booking.com社は以下のように説明する。

 当社は顧客データの保護を極めて重視しています。当社は全ての顧客データを最高水準の国際規格にのっとって取り扱うだけでなく、Booking.comのセキュリティ確保にも取り組んでいます。そのためにデータ処理プロセスやシステムを継続的に改善することに加え、実施済みのセキュリティ対策についても評価と強化を実施しています。

 今回の脆弱性対処の一環として、当社はグローバルなセキュリティコミュニティーとの協力を歓迎します。当社のバグバウンティプログラム(バグ報酬金プログラム)は今回のような場合に活用されるべきだと考えています。


 次回は、Booking.comの脆弱性の詳細と、APIセキュリティを取り巻く状況を紹介する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia マーケティング新着記事

news132.jpg

ハロウィーンの口コミ数はエイプリルフールやバレンタインを超える マーケ視点で押さえておくべきことは?
ホットリンクは、SNSの投稿データから、ハロウィーンに関する口コミを調査した。

news103.jpg

なぜ料理の失敗写真がパッケージに? クノールが展開する「ジレニアル世代」向けキャンペーンの真意
調味料ブランドのKnorr(クノール)は季節限定のホリデーマーケティングキャンペーン「#E...

news160.jpg

業界トップランナーが語る「イベントDX」 リアルもオンラインも、もっと変われる
コロナ禍を経て、イベントの在り方は大きく変わった。データを駆使してイベントの体験価...