先月ごろ、世間を賑わせた「HeartBleed」に続いてまたしても脆弱性が見つかったと各メディアが報じています。
今回問題になっているのは「OAuth 2.0(オーオース)」と「OpenID」で、Google、Facebook、Microsoft、LinkedIn、Paypalなど世界的な大手も利用しているツールに潜む脆弱性です。
「OpenID」とは、簡単にいえばアプリログインのような仕組みのことです。要するにRSSリーダーやゲームなどのサービスに”ログイン”する際に、そのサービス専用のアカウントではなく、GoogleやFacebookのアカウントを使用してログインできる仕組みといえば分かりやすいのではないでしょうか。
今回見つかった脆弱性が悪用されると、こうしたログイン時に表示されるポップアップ画面を偽装できるようになるとのことです。
これによってユーザーが偽装されたポップアップからログインをを許可した場合、正当なウェブサイト(画面に表示されたサービス等)ではなく、脆弱性を突いた攻撃者宛てに情報が送信されてしまい(=個人情報の漏洩)、更に攻撃者によって指定された悪意あるウェブサイトにリダイレクトされて別の攻撃を受ける危険性まであるとのことです。
今回の脆弱性を発見したシンガポールの博士課程の学生が運営するサイトおよびブログにて、事の詳細および影響を受けるサービスのリストが公開されています。
リストには「facebook.com」「google.com」「linkedin.com」「yahoo.com」「live.com」など、大手サービスの名前も含まれています。
・OAuth 2.0 and OpenID Covert Redirect Vulnerability
・Sina's OAuth 2.0 Covert Redirect Vulnerability (Information Leakage & Open Redirect) | WJ's Blog