グーグルの「Googleでサインイン」に重大な脆弱性が発覚。倒産企業のドメイン購入で元従業員のアカウントに不正アクセス可能。修正は未実装。
この脆弱性は、倒産したスタートアップ企業のドメインを購入することで、元従業員のアカウントに不正アクセスが可能になるというものです。
Truffle Securityは、実際に倒産企業のドメインを取得し、ChatGPT、Slack、Notion、Zoom、HRシステムなどの複数のサービスにおいて、元従業員のアカウントへのアクセスを実証しました。
その結果、一部のサービスでは税務書類、給与明細、保険情報、社会保障番号などの機密情報にもアクセスできることが確認されました。
この脆弱性が及ぼす影響について、Truffle Securityは現在購入可能な倒産スタートアップのドメインが10万以上存在し、特に米国ではテック系スタートアップの90%が最終的に倒産し、そのうち50%が「Google Workspace」を利用していることを指摘しています。
さらに、この脆弱性は2024年9月30日にグーグルに報告されたものの、当初は対応を拒否されました。
しかし、12月19日に再度検討された結果、修正に取り組むことが決定されました。
なお、1月15日現在、修正はまだ実装されていないとのことです。
参考リンクhttps://news.yahoo.co.jp/articles/e1ecbc0ff147c84ec912870f9dbf4fb19fe27245
コメントでは、グーグル認証システムの脆弱性に対する懸念が多く寄せられていました。
特に、個人情報保護の堅牢性に対する不安が強く、利用者が不正利用された場合の返金や補償、セキュリティ強化の必要性が強調されていました。
多くの人がグーグルにパスワードを預けているため、万が一システムが突破された場合の影響は甚大で、短期間でも経済パニックが起こる可能性があるとの意見がありました。
また、グーグルの問題だけでなく、OpenID全般に関する問題にも言及され、対策が難しいのではないかという懸念も表明されていました。
さらに、決済系のアカウントを守ることが重要であり、情報が漏れても大丈夫なように備えておくべきとのアドバイスもありました。
ネット社会に対する恐怖感も強く、専門家集団であるグーグルですらこのような問題が起こることに対する驚きや不安が見受けられました。
ネットコメントを一部抜粋
個人情報保護の堅牢性は殆どないと思っています。
不正利用されたときに返金、補償、新規カードへの切り替えの早さが求められました。
Googleの問題というよりもOpenID全般の問題のように感じられました。
ネット社会って本当にこわいですね。
今の時代、情報は最悪バレても大丈夫なようにしとけとの意見がありました。