研究者のArvin Shivram氏が、AIを活用したファジングフレームワークをGoogleの内部APIインフラに展開し、GoogleのVulnerability Reward Program(VRP)から50万ドルのバグバウンティを獲得しました。3か月足らずで複数の重要サービスにまたがる深刻なアクセス制御の欠陥を発見した成果です。
この研究のきっかけは、2025年10月にShivram氏がbugSWAT Mexicoに招待されたことで、Googleの攻撃対象領域への関心が再燃したことでした。
GoogleがSwagger/OpenAPIドキュメントと同様の機械可読なディスカバリドキュメントやAPI仕様を、公開・内部サービスの両方に向けて公開していることに着目したShivram氏は、AIを使ってAPIファジングを大規模に自動化できると考えました。
AIを駆使したGoogleへの侵入
AIを用いたテストを開始する前に、Shivram氏と共同研究者のMichael氏は徹底的な事前調査を実施しました。
Googleアプリのすべてのバージョンを含む6万以上のAndroid APKを収集し、2,800以上のGoogleドメインにまたがるAPIトラフィックをリアルタイムで傍受するカスタムChrome拡張機能を開発。さらに、GoogleのアプリケーションにハードコードされたAPIキーを3,600件以上収集しました。
証明書の透明性ログとサブドメインのブルートフォース探索を駆使し、1,500以上の稼働中のGoogle内部APIを特定しました。その多くは可視性ラベルの背後に隠されており、未公開エンドポイントを露出させるには?labels=GOOGLE_INTERNALのような特殊なパラメータが必要でした。
技術的な大きな突破口となったのが、Googleの独自認証システムであるFirst Party Authentication(FPA)v2のリバースエンジニアリングです。Michael氏は、Googleがandroid-review.googlesource.com上で誤って内部ライブラリgapixのソースマップを公開していたことを発見し、SHA-1トークン生成アルゴリズムを解明しました。
これにより、研究チームは有効なFPA認証ヘッダーを生成し、本来は一般公開を意図していない内部APIへの認証アクセスを確立することができました。
Shivram氏は1,500件のディスカバリドキュメントをすべてMCP(Model Context Protocol)ツールとして統合し、AIモデルにGoogleのVRPセキュリティ研究者として振る舞うよう指示しました(Brutecatの報告より)。
AIにはprobe_api、report_vulnerability、confirm_testing_completeといったツールが与えられ、誤検知を最小化するために1か月かけて調整されたシステムプロンプトも用意されました。
このアプローチは試行錯誤を重ねながら改善されていきました。当初、AIは存在列挙オラクルや500系エラーを脆弱性として報告するなど、過剰な誤検知を生み出していました。
エンドポイントのグループ別分類と厳格な報告ルール(実際のユーザーデータを露出させる確認済みのIDOR漏洩または壊れたアクセス制御のみを報告)を導入した結果、AIの精度は発見1件あたり50%を超えるまでに向上しました。報告されたすべてのバグには、実際のリクエスト/レスポンスペアにリンクしたオペレーションIDが含まれており、Shivram氏のカスタムAPIエクスプローラーUIでワンクリックで手動検証が可能でした。
最も深刻な発見は、Google Voiceのアカウント乗っ取り(ATO)でした。gfibervoice-pa.googleapis.comエンドポイントは認証が一切不要で、攻撃者は被害者のGaia IDさえ知っていれば、単一のcurlコマンドで電話番号・Gmailの回復用アドレス・着信転送設定を取得できる状態でした。
さらに、このAPIを使ってターゲットアカウントにGoogle Voice番号を割り当てることも可能で、SIMスワップ型攻撃の前提条件を満たしていました。GoogleはこれをP0/S0(最高深刻度)と分類し、数時間以内にパッチを適用。報奨金として2万ドルが支払われました。
AIはさらに、AdExchange(Google広告)のATOチェーンも発見しました。すべてのAdExchangeパブリッシャーアカウントの一覧を露出させる内部エンドポイントが存在し、サンドボックス環境に適切なアクセス制御が欠如していたため、Google広告プラットフォーム全体でクロスアカウントのデータアクセスが可能な状態でした。
また、support.google.comのコンテンツ管理APIにも別のアクセス制御の脆弱性が発見されました。*.corp.google.comオリジンからのみアクセス可能なこのエンドポイントは、内部のテクノロジーアカウントマネージャー(TAM)の割り当て情報を漏洩させており、6,000ドルの報奨金が支払われました。
研究者と報奨金の概要
以下の表は、今回の研究で文書化された発見と確定した報奨金をまとめたものです。
| # | 脆弱性 | 影響を受けたサービス | 深刻度 | 支払われた報奨金 |
|---|---|---|---|---|
| 1 | Google Voice ATO——未認証のPII漏洩と電話番号乗っ取り | gfibervoice-pa.googleapis.com |
P0/S0 Critical | $20,000 |
| 2 | AdExchange ATO——広告パブリッシャーアカウントへの壊れたアクセス制御 | adexchangebuyer.clients6.google.com(サンドボックス) |
Critical | 非公開(50万ドル合計の一部) |
| 3 | TAMデータ漏洩——内部アカウントマネージャー割り当て情報を露出させるアクセス制御の不備 | contentmanager.clients6.google.com |
High | $9,000 |
| 4 | APIエクスプローラーのIDOR——割り当てTAMを漏洩させるアクセス制御の不備 | 内部People APIエンドポイント | Medium | $6,000 |
| 5 | 1,500以上の内部APIにまたがる複数の追加APIアクセス制御の不備 | 各種*.googleapis.com |
Medium〜Critical | 50万ドル合計の残額 |
今回の一連の取り組みは、自動化された脆弱性調査における転換点を示しています。AIと深いAPIリコン、精密に調整されたシステムプロンプト、そして人間による検証を組み合わせることで、個々の研究者が手動では到底実現できない規模で、実世界の高深刻度バグを継続的に発見できることが証明されました。報告されたすべての脆弱性は、開示前にGoogleによって修正が確認されています。
翻訳元: https://gbhackers.com/researcher-hack-google-earns-500000-bug-bounty/
