Googleでサインインの欠陥により、数百万人のユーザーの個人情報が漏洩

Truffle Securityによる研究で、Googleの「Googleでサインイン」認証フローに脆弱性が存在し、数百万のアカウントが危険に晒されていることが明らかになりました。

この脆弱性は、閉鎖されたスタートアップのドメインを取得することで悪用可能であり、サイバー攻撃者が旧従業員のアカウントに不正アクセスするリスクを生じさせています。

根本的な原因はドメイン所有権とGoogleの OAuth ログインの関係

根本的な問題はドメイン所有権とGoogleの OAuth ログインの関係で、倒産したスタートアップや企業のドメインを購入し、元従業員のGoogleアカウントを再作成する事が可能になってしまいます。

またGoogleの OAuth ログインと連携しているSaaSにもログインできてしまい、古い従業員アカウントで以下のようなサービスにアクセルできるとのこと

• Slack

• ChatGPT

• Notion

• Zoom

• 人事システム（社会保険番号を含む）

などなど

またTruffle Securityは上記以外にも

・税務書類、給与明細、保険情報、社会保障番号などが含まれる人事システム

・候補者のフィードバックや採用オファー、フィードバックを行った面接プラットフォーム

・DMやサイバー攻撃者に入手させてはならない機密情報が含まれた社内チャット

などにアクセスできることを確認しました。

影響範囲

• 現在、600万人のアメリカ人がテクノロジー系スタートアップ企業で働いています。

• テクノロジー系スタートアップの90%は最終的に失敗します。

• これらのスタートアップ企業の 50% がメールに Google Workspace を利用しています。

Truffle SecurityがCrunchbase のスタートアップ データセットを調べたところ、米国で失敗したスタートアップから購入可能なドメインが 100,000 件以上あることがわかりました。

失敗したスタートアップ企業が存続期間中に平均 10 人の従業員を抱え、10 種類の異なる SaaS サービスを使用していたとしたら、1,000 万を超えるアカウントの機密データにアクセスすることになるとしています。

なお、Truffle Securityはグーグルに報告し修正対応予定としていますが、

過去作成したAdminアカウントや社員のアカウントの乗っ取りへの根本的な対策はなく

・多要素認証の強制

・連携しているサービスでは、パスワードリセット時に2要素認証を強制する

などがリスクを下げる対策となります。