- Tenableが「LeakyLooker」と呼ばれるLooker Studioの9つの欠陥を発見
- バグはクロステナントSQLインジェクションと認証情報漏洩を可能にした
- Googleが全ての脆弱性にパッチを適用。ユーザーはレポートアクセスを確認するよう勧告
Google Looker Studioの9つの脆弱性により、ターゲットデータベースに対して任意のSQLクエリを実行でき、ユーザーのGoogle Cloud環境から機密データを取得できる可能性があることが専門家により明かされました。
セキュリティ研究企業Tenableが「LeakyLooker」と呼ばれるこれらの欠陥を発見しました。Google Sheets、PostgreSQL、MySQLなど、ほぼすべてのLooker Studioデータコネクタを使用している人々に影響を及ぼし、Google Cloud環境全体で機密データを露出させていました。
「ライブデータを提供しながら完全な隔離を実現することは、欠陥のある可能性がある難しいタスクです」とTenableが調査結果で述べているところによれば、リアルタイムレポート更新向けに設計されたツールの「ライブデータ」アーキテクチャが実のところ致命的な弱点だったと付け加えています。「攻撃者は0クリック(被害者の操作なし)および1クリック(被害者が攻撃者が管理する悪意あるウェブサイトを開く)脆弱性を通じてこれを悪用することができました。」
記事の続きは以下を参照
Looker Studioの問題
Looker Studioはユーザーが生データをインタラクティブなダッシュボードとレポートに変換できるGoogleの無料データ可視化およびレポートツールです。より広いLookerの製品ファミリーが月間1,000万人以上のユーザーを持つため、かなり人気があります。
Tenableが発見したバグの簡潔な概要は以下の通りです:
- クロステナント不正アクセス – データベースコネクタ上のゼロクリックSQLインジェクション – TRA-2025-28
- クロステナント不正アクセス – 保存された認証情報を通じたゼロクリックSQLインジェクション – TRA-2025-29
- クロステナントSQLインジェクション – BigQuery上のネイティブ関数を通じたもの – TRA-2025-27
- クロステナントデータソースリーク – ハイパーリンク経由 – TRA-2025-40
- クロステナントSQLインジェクション – 被害者のデータソース上のカスタムクエリを通じたSpannerおよびBigQuery – TRA-2025-38
- クロステナントSQLインジェクション – Linking APIを通じたBigQueryおよびSpanner – TRA-2025-37
- クロステナントデータソースリーク – 画像レンダリング経由 – TRA-2025-30
- クロステナントXSリーク – フレームカウントおよびタイミングオラクルを使用した任意のデータソース – TRA-2025-31
- クロステナント支払拒否 – BigQuery経由 – TRA-2025-41
これらの脆弱性の中で最も懸念事項は、「コピーレポート」機能の「スティッキー認証情報」ロジックの欠陥であり、不正な攻撃者が元の所有者の認証情報を保持しながらレポートをクローンするために使用できました。
Googleはその後9つのバグすべてにグローバルでパッチを適用し、Tenableはユーザーに公開および非公開レポートの両方に対して「表示」アクセス権を持つ人物を定期的に確認することを推奨しています。
そしてもちろん、あなたはTikTokでTechRadarをフォローできますし、ビデオ形式のニュース、レビュー、アンボックスについて、またWhatsAppでも私たちから定期的なアップデートを受け取ることができます。
