新たな XSS 脅威が OAuth ソーシャル ログインを悪用し、数百万の Web サイトを危険にさらす
API セキュリティ企業 Salt Security の研究部門である Salt Labs は最近、世界中の何百万もの Web サイトに影響を与える可能性のある重大なクロスサイト スクリプティング (XSS) の脆弱性を発見しました。一元的にパッチを適用できる製品の脆弱性とは異なり、この問題は Web コード内での OAuth (ソーシャル ログインに広く使用されているアプリ) の実装に起因しています。開発者の間では XSS の脅威は過去のものだという一般的な考えがありますが、Salt Labs の調査結果は Web セキュリティにおける重大な見落としを浮き彫りにしています。
目次
慣れ親しんだことへの満足感
ソーシャル ログイン用の OAuth の実装が簡単であることから、開発者は安心感を抱いています。しかし、この慣れが大きなミスにつながる可能性があります。根本的な問題は、既存のエコシステムに新しいテクノロジーとプロセスを導入することで、確立された均衡が崩れる可能性があることです。これは OAuth 自体の欠陥ではなく、さまざまな Web サイトでの実装方法に問題があります。Salt Labs は、細心の注意と厳密さがなければ、OAuth を使用すると、現在の緩和策をバイパスする新しい XSS ルートが作成され、アカウントの完全な乗っ取りにつながる可能性があることを発見しました。
ケーススタディ: HotJar と Business Insider
Salt Labs の調査は、HotJar と Business Insider という 2 つの有名企業による実装に焦点を当てました。これらの企業が選ばれたのは、セキュリティ体制がしっかりしており、個人を特定できる情報 (PII) を大量に取り扱っているからです。このような大手企業がOAuth を誤って実装できるのであれば、リソースがあまりない小規模の Web サイトが同様のエラーを犯す可能性は高いでしょう。Salt Security の研究担当副社長 Yaniv Balmas 氏は、Booking.com、Grammarly、OpenAI などの Web サイトで同様の OAuth 問題が見つかったことを明らかにしましたが、これらはレポートには含まれていませんでした。
特に HotJar は、市場が広く飽和状態にあり、膨大な量のユーザー データを収集していることから注目されました。Google Analytics と同様に動作する HotJar は、スクリーンショット、キーボード クリック、マウス操作などのユーザー セッション データを記録します。このデータには、名前、メール アドレス、住所、プライベート メッセージ、銀行の詳細、認証情報などの機密情報が含まれる場合があります。発見された脆弱性により、攻撃者はログイン シークレットを偽造および傍受して OAuth ソーシャル ログイン プロセスを悪用し、ユーザー アカウントに不正アクセスできるようになります。
攻撃方法
この攻撃方法は、XSS と OAuth ログイン フローを組み合わせたものです。正当な HotJar ソーシャル ログイン リクエストを模倣した細工されたリンクが攻撃を開始します。被害者がこのリンクをクリックすると、攻撃者はログイン シークレットを傍受し、アカウントを完全に乗っ取ることができます。この脆弱性は、多くの Web サイトが見落としているか、実行するための専門知識が不足している、安全な実装方法の重要性を強調しています。
予防策とツール
これらの調査結果を受けて、Salt Labs は、Web サイト運営者が潜在的な OAuth XSS 実装の問題を特定して対処するのに役立つ方法論と無料のスキャナー ツールを公開しました。このプロアクティブなアプローチは、重大なセキュリティ侵害にエスカレートする前にリスクを軽減することを目的としています。Balmas 氏は、100% の成功は保証できないと警告していますが、このツールは組織がセキュリティ体制を強化するための貴重な早期警告システムを提供します。
Salt Labs によるこの発見は、OAuth のような広く信頼されているテクノロジーであっても、入念で安全な実装が必要であることをはっきりと思い出させるものです。デジタル環境が進化し続けるにつれて、堅牢なサイバーセキュリティ対策に対する私たちの警戒と取り組みも進化する必要があります。