サイバーセキュリティ研究者たちは、MicrosoftのOneDriveファイルピッカーにおけるセキュリティの欠陥を発見しました。この欠陥が悪用されると、ツールを通じてアップロードするために選択されたファイルだけでなく、ユーザーのクラウドストレージ全体のコンテンツにウェブサイトがアクセスできる可能性があります。
「これは、過度に広範なOAuthスコープと、付与されるアクセスの範囲を明確に説明しない誤解を招く同意画面に起因しています」と、オアシスリサーチチームは報告書でThe Hacker Newsに共有しました。「この欠陥は、顧客データの漏洩やコンプライアンス規制の違反など、深刻な結果を招く可能性があります。」
Microsoftのクラウドサービスと統合されているため、ChatGPT、Slack、Trello、ClickUpなど、いくつかのアプリが影響を受けていると評価されています。
問題は、OneDriveファイルピッカーが要求する過剰な権限に起因しており、OneDriveに対する細かいOAuthスコープがないため、たとえ1つのファイルしかアップロードされない場合でも、ドライブ全体への読み取りアクセスを求めることにあります。
さらに問題を複雑にしているのは、ファイルのアップロード前にユーザーに提示される同意プロンプトが曖昧で、付与されるアクセスレベルを適切に伝えていないため、ユーザーが予期しないセキュリティリスクにさらされることです。
「細かいスコープがないため、すべてのファイルを対象とする悪意のあるアプリと、単に他に安全な選択肢がないために過剰な権限を要求する正当なアプリを区別することが不可能です」とオアシスは指摘しました。
ニューヨークに拠点を置くセキュリティ企業はさらに、アクセスを承認するために使用されるOAuthトークンがしばしば安全でない方法で保存されていると指摘し、ブラウザのセッションストレージにプレーンテキスト形式で保存されていると付け加えました。
もう一つの潜在的な落とし穴は、認証ワークフローがリフレッシュトークンの発行を含む可能性があり、現在のトークンが期限切れになったときにユーザーに再度ログインを求めることなく、新しいアクセス トークンを取得することでアプリケーションにユーザーデータへの継続的なアクセスを許可することです。
責任ある開示の後、Microsoftは問題を認識しましたが、まだ修正はされていません。その間、安全な代替手段が整うまで、OAuthを通じてOneDriveを使用してファイルをアップロードするオプションを一時的に削除することを検討する価値があります。あるいは、リフレッシュトークンの使用を避け、アクセス トークンを安全な方法で保存し、不要になったらそれらを破棄することが推奨されます。
The Hacker NewsはMicrosoftにさらなるコメントを求めており、返答があれば記事を更新します。
「細かいOAuthスコープの欠如とMicrosoftの曖昧なユーザープロンプトが組み合わさると、個人および企業ユーザーの両方を危険にさらす危険な組み合わせになります」とオアシスは述べました。「この発見は、OAuthスコープ管理における継続的な警戒、定期的なセキュリティ評価、およびユーザーデータを保護するための積極的な監視の重要性を再確認させるものです。」
翻訳元: https://thehackernews.com/2025/05/microsoft-onedrive-file-picker-flaw.html