TokyoBlackHatNews

infosecurity-magazine.com 5分で読了

Microsoft OneDriveの欠陥により、ユーザーが過剰なデータアクセスのリスクにさらされる

MicrosoftのOneDriveファイルピッカーに存在するセキュリティ上の欠陥により、数百万人のユーザーが潜在的なデータの過剰アクセスにさらされています。

Oasis Securityによる新たな調査結果によると、問題はピッカーがOAuth権限を要求する方法にあり、アップロードまたはダウンロードのために選択されたファイルだけでなく、ユーザーのOneDrive全体への広範なアクセスをアプリケーションに付与してしまいます。

「過剰に許可されたOAuthスコープと、誤解を招く同意フローが組み合わさった典型例です」と、Black Duckの主任セキュリティコンサルタントであるVijay Dilwale氏は説明しました。

設計上付与される過剰な権限

Oasis Securityのレポートは、ChatGPT、Slack、Trello、ClickUpなど、広く利用されている数百のWebアプリケーションが、ファイルのアップロードを効率化するためにOneDriveファイルピッカーを統合していることを指摘しました。しかし、これらの統合はユーザーのクラウドストレージ全体にわたる広範な読み取りまたは書き込みアクセスを要求しています。

「Oasis Securityの最近の調査は、重大なプライバシーおよびセキュリティ問題を浮き彫りにしています」と、Salt Securityのサイバーセキュリティ戦略ディレクターであるEric Schwake氏は述べました。 

「この問題により、OAuthスコープの詳細が不十分なため、これらのアプリはアップロード用に選択されたファイルだけでなく、ユーザーのOneDriveコンテンツ全体への完全な読み取りアクセスを取得できてしまいます。」

たとえばファイルピッカーのバージョン7.0は、アップロード処理中であっても読み取りと書き込みの両方のアクセスを要求します。一方、古いピッカーバージョン(6.0〜7.2)も、URLフラグメントやlocalStorageの使用を含む、機密性の高いOAuthトークンの安全でない取り扱いという問題を抱えています。

バージョン8.0では認証を外部化することで開発者により多くの制御を与えていますが、スコープ自体は依然として過度に広範です。

「MicrosoftのOneDriveファイルピッカーは、サードパーティのWebアプリに広範なファイルアクセスを要求するよう促しています」と、SectigoのシニアフェローであるJason Soroko氏は述べました。 

「同意ダイアログは、クリック一つで統合先がユーザーのOneDrive内のあらゆるファイルやフォルダーへの入口を得ることを伝えていません。」

OAuthのセキュリティ懸念について詳しく読む:HotjarとBusiness Insiderの脆弱性がOAuthデータのリスクを露呈

ユーザーと組織にとっての現実的なリスク

このスコープの脆弱性は、理論上のリスクにとどまりません。 

Phenomeのような採用プラットフォームを通じて候補者が履歴書をアップロードする際、履歴書が企業のOneDriveストレージから取得される場合、機密性の高い雇用主の文書を意図せず露出させてしまう可能性があります。

「ユーザーは、証明されない限り、承認したあらゆるSaaSプラグインが個人または企業の最重要資産への鍵を持っていると考えるべきです」とSoroko氏は警告しました。 

「セキュリティチームは、『管理者同意』または条件付きアクセスのポリシーを適用し、files.readを超えるものを要求するアプリをブロックすべきです。」

Oasis Securityは、いくつかの懸念点を特定しました:

  • ファイルピッカーの権限により、ユーザーのOneDrive内のすべてのファイルにアクセスできる
  • アクセストークンが1時間以上存続する可能性があり、リフレッシュトークンが使用される場合は継続的なアクセスが可能になり得る
  • トークンが過去にブラウザメモリ内へ安全でない形で保存されていた
  • 同意ダイアログがアクセス範囲の程度を明確に伝えていない

「これは一歩引いて、クラウドストレージ統合がどのように使われているかを見直す良い機会です」とDilwale氏は述べました。 

「設定レビューから始めましょう。どのアプリがOneDriveにアクセスでき、どのスコープが付与されているかを確認してください。」

GoogleとDropboxによる、より制限的なモデル

Microsoftのアプローチと比べると、競合他社はより安全なデフォルトを実装しています。 

Google Driveはdrive.fileのような粒度の細かいスコープを使用し、アプリが作成したファイルまたはユーザーが選択したファイルにアクセスを制限します。一方Dropboxは、OAuthを完全に回避するカスタムピッカーを採用し、明示的に選択されたファイルのみを取得します。

Microsoftはこの報告を認識したと伝えられていますが、変更についてはまだ発表していません。 

Oasis Securityは開発者に対し、リフレッシュトークンを避け、スコープ要求を制限し、既存の統合を見直すよう助言しています。 

ユーザーにとっては、Microsoftのプライバシー設定で、現在どのアプリが自分のOneDriveアカウントにアクセスできるかを確認できます

画像クレジット:JarTee / Shutterstock.com

翻訳元: https://www.infosecurity-magazine.com/news/microsoft-onedrive-flaw-exposes/

ソース: infosecurity-magazine.com
#Microsoft #OAuth #OneDrive #アクセストークン #クラウドストレージ #サードパーティアプリ #セキュリティ脆弱性 #データプライバシー #同意画面 #過剰権限

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新