LEGO売買サイト「BrickLink」に潜んでいた“危険な脆弱性”とは何だったのか:LEGO売買サイトの脆弱性から得られる教訓【前編】
セキュリティ専門家が、LEGOの中古品売買サイト「BrickLink」に脆弱性を発見した。見つかったのは2つの脆弱性だ。どのような脆弱性だったのか。発見に至ったいきさつとは。
ブロック玩具「LEGO」の中古品売買サイト「BrickLink」が使用するAPI(アプリケーションプログラミングインタフェース)に、2つの脆弱(ぜいじゃく)性が見つかった。APIセキュリティベンダーSalt Securityの調査部門であるSalt Labsが脆弱性を発見した後、BrickLinkを運営するLEGO BrickLinkは、この脆弱性を速やかに修正した。これは2022年のクリスマス(12月25日)前のことだ。
潜んでいたのは“あの脆弱性”
100万人以上の会員を持つBrickLinkは、個人や企業が中古のLEGOを売買できるWebサービスだ。『Harry Potter』(ハリー・ポッター)シリーズに登場する列車「Hogwarts Express」(ホグワーツ特急)の組み立てキットなど、さまざまなLEGOが取引されている。年末年始の休暇期間は、プレゼント用にLEGOを買い求める人がBrickLinkに集まり、特に混雑する時期となる。そのため、LEGO BrickLinkは迅速に脆弱性を修正しなければならなかった。
Salt Labsの調査担当者がBrickLinkの入力フィールドを調査した結果、2つの脆弱性が明らかになった。1つ目は、BrickLinkのクーポン検索ページにおける検索ボックスに存在した「クロスサイトスクリプティング」(XSS)の脆弱性だ。XSSはWebサイトに不正なスクリプトを埋め込み、エンドユーザーのWebブラウザで実行させることを可能にする脆弱性を指す。
調査チームは、標的となるエンドユーザーのセッション(アクセスの単位)を識別する「セッションID」をBrickLink内の別ページから取得し、XSSの脆弱性を用いてそのセッションを乗っ取ることに成功。最終的にアカウントを乗っ取ることができた。こうした手口は、エンドユーザーの個人情報の窃取に悪用される可能性がある。
2つ目の脆弱性は、エンドユーザーが気になった製品をウォッチリストに追加できる、BrickLinkの「欲しいものリストへのアップロード」ページにあった。調査チームはこのページで、「XML外部実体」(XXE)攻撃を実行できた。XXE攻撃は、XML形式のデータが外部データを参照する機能を悪用して、データを盗み取る攻撃だ。
調査チームはXXE攻撃によって、BrickLinkが稼働するサーバ内のファイルを読み取り、「サーバサイドリクエストフォージェリ」(SSRF)攻撃を実行できることも発見した。SSRF攻撃は、公開サーバから非公開の標的サーバへのリクエスト(応答要求)を偽装し、標的サーバに不正アクセスする攻撃手法を指す。SSRF攻撃によって、LEGO BrickLinkのサーバを乗っ取るなどさまざまな悪質行為への応用が考えられるという。
後編は、Salt Securityの調査結果とともに、APIセキュリティの重要性を紹介する。
Computer Weekly発 世界に学ぶIT導入・活用術
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.