出典:Danawan Purbanggoro(Shutterstock経由)
従来のコーディングをほとんど必要とせずにソフトウェアを構築できる「バイブコーディング」プラットフォームの台頭は、組織にとって新たなセキュリティリスクを生み出す可能性があります。
最近の例として、Base44というAI搭載の開発プラットフォームに存在した脆弱性が挙げられます。この脆弱性は、認証されていないユーザーがサービス上でホストされている企業のプライベートアプリケーションに完全にアクセスできてしまうものでした。クラウドセキュリティ企業Wizの研究者によってこの認証の欠陥が発見され、WizはGoogleに2024年3月、320億ドルで買収されました。
恐ろしい脆弱性
Wizの研究者によると、この脆弱性が特に恐ろしいのは、誰でも簡単に悪用できてしまう点でした。「この低いハードルにより、攻撃者は最小限の技術力でプラットフォーム上の複数のアプリケーションを体系的に侵害できてしまいます」とWizは今週のレポートで述べています。
しかし、Wizが今月初めにこの問題をWixに発見・報告する前に、実際に誰かがこの脆弱性を悪用した形跡はありません。Wixは今年初めにBase44を買収しており、問題への対応とともに、認証管理の刷新も行いました。これはWizによる脆弱性の発見を受けての対応と考えられます。
「調査の結果、現時点ではこの脆弱性を利用した攻撃によって影響を受けた顧客はいないことが確認されています」と同社は述べています。「引き続き調査を継続し、この問題を真摯に受け止めています。」
Base44は、ローコードプラットフォームであり、開発者やソフトウェアチームが通常のプログラミングコードではなく自然言語記述を使って、迅速に機能的なアプリケーションを構築・展開できるよう設計されています。有料プランは月額20ドルから200ドルまであり、Base44の利用者は個人開発者から企業組織まで幅広いです。
今年初め、創業者のMaor Shlomo氏は、プラットフォームのユーザー数が2万人を突破したと報告しました。Bolt.new、Lovable、Cursor、Replitなど、類似のAI駆動型開発プラットフォームも提供されています。
多くの人はこのようなツールをソフトウェア開発の民主化と捉えていますが、一方で、こうしたバイブコーディングプラットフォームの一部は、セキュリティやコンプライアンスの観点から、企業利用に十分な備えができていないのではないかという懸念もあります。
例えばWizが発見した脆弱性は、攻撃者がすべての認証制御(Base44のシングルサインオン(SSO)機構を含む)をバイパスし、プラットフォーム上の他ユーザーのアプリにアクセスできてしまうものでした。これにより、企業のチャットボットや個人情報・機密情報を含む数千のエンタープライズアプリが危険に晒されていました。
隠れていなかった問題
この脆弱性の核心は、Base44プラットフォームが本来非公開であるべき2つのシステム部分を、誰でもアクセスできる状態にしていたことにあります。1つは新規ユーザー登録用、もう1つはワンタイムパスワード(OTP)によるユーザー登録確認用です。基本的に、これらを利用するのにログインや特別なアクセス権は必要ありませんでした。
Wizは、Base44のアプリID(プラットフォーム上で開発された全アプリに割り当てられるもの)を見つけた誰もが、そのIDを非公開であるはずのサインアップや認証ツールに入力することで、そのアプリにアクセスするための有効な認証済みアカウントを登録できることを発見しました。また、Base44のアプリケーションIDは、探し方さえ知っていれば誰でも簡単に見つけられる状態でした。
研究チームはバイブコーディングプラットフォームの調査と、従来型の攻撃面リサーチを行っていた際、Base44の2つのドメインでAPIドキュメント用のオープンソースツール「Swagger-UI」のインターフェースが公開されているというアラートを受け取りました。研究者はこの公開が脆弱性につながっていることを突き止め、Swagger-UIのインスタンスに不正アクセスできることを確認しました。
「ターゲットアプリケーションのapp_idを使い、Swagger-UIインターフェース経由で新規ユーザーアカウントを登録し、メールでOTP認証コードを受け取り、アカウントを認証できました——それも、私たちが所有していない、SSO専用アクセスに設定されたアプリケーションで」とレポートは述べています。
Wizの脅威露出部門責任者Gal Nagli氏は、Dark Readingに対し、この問題は主にBase44の認証ワークフローにおけるロジックの欠陥から生じたと語っています。「攻撃者がBase44のメインドメイン上に公開されていた内部APIドキュメントを発見すると、プライベートアプリケーション内に自分自身を登録するために必要なすべてのパラメータが露出していることに気づくでしょう」と彼は述べます。「最小限の技術知識でも、攻撃者は迅速に登録し、本来認可されたユーザーのみが利用できるプライベートアプリケーションにアクセスできてしまいます。」
Nagli氏によれば、WizがBase44アプリIDを外部で発見した方法は今も有効ですが、Wixはプラットフォーム上のプライベートアプリにアクセスするためのアカウント登録時にアプリのプライバシー設定を適切に検証することで、脆弱性自体は解消したとしています。
Nagli氏は、Base44のようなバイブコーディングプラットフォームはソフトウェア開発を民主化し、何百万人もの人々が迅速かつ簡単にアプリケーションを構築できるようにしていると指摘します。その広範な普及は、AI駆動型開発の急速な成長を示していますが、それに伴い新たな攻撃面も生じています。「今回の発見は、適切な認証や安全なAPI設計といった基本的な管理策がいかに重要かを浮き彫りにしています」と彼は述べています。
翻訳元: https://www.darkreading.com/application-security/critical-flaw-vibe-coding-base44-exposed-apps