GoogleのOAuth認証に重大な脆弱性が発見されました。この問題は2023年8月4日にTruffle Security社によってGoogleに報告され、2025年1月に公になりました。
脆弱性により、倒産したスタートアップのドメインを購入することで、元従業員のアカウントを再作成し、ChatGPT、Slack、Notion、Zoom、HRシステムなどの各種サービスへの不正アクセスが可能となります。漏洩の可能性がある情報には、税務書類、給与明細、保険情報、社会保障番号などが含まれます。
経緯と現状
2023年8月4日のGoogleへの脆弱性報告から、同年10月5日にGoogleは1,337ドルの報奨金を支払い、12月16日に一般公開されました。しかし2025年現在も、この問題は未修正のままとなっています。
from:Google OAuth Vulnerability Exposes Millions via Failed Startup Domains
【編集部解説】
GoogleのOAuth認証の仕組みについて、まず詳しく解説させていただきます。OAuthは通常、ユーザーが安全にサードパーティーアプリケーションにアクセスできるように設計された認証の標準規格です。今回の脆弱性は、この仕組みの中でも特に「ドメイン所有権の移転」に関する部分に存在していました。
影響の深刻さ
この脆弱性が特に深刻なのは、スタートアップのライフサイクルと密接に関連している点です。統計によると、テックスタートアップの90%が失敗し、その半数がGoogle Workspaceを使用していることから、潜在的な影響は非常に広範囲に及ぶ可能性があります。
セキュリティの観点
従来のセキュリティモデルでは、従業員が退職する際にアカウントを無効化すれば十分と考えられてきました。しかし、この脆弱性により、そのような基本的な前提が覆されることとなりました。
企業への影響
特に日本のスタートアップエコシステムにおいて、この問題は見過ごせない影響をもたらす可能性があります。なぜなら、多くの日本企業がSlackやZoomなどのSaaSサービスを活用しており、これらのサービスの多くがGoogleのOAuth認証に依存しているからです。
対策の現状
現時点でGoogleは問題を認識し、修正に向けて動き出していますが、完全な解決策はまだ提供されていません。この状況は、クラウドサービスの相互依存関係が引き起こす新しいタイプのセキュリティリスクを示唆しています。
今後の展望
この問題は、クラウドサービスの認証基盤の在り方に関する重要な議論を引き起こすきっかけとなるでしょう。特に、「不変の識別子」の重要性や、ドメイン所有権の移転に関する新しいセキュリティモデルの必要性が指摘されています。
読者の皆様へのアドバイス
スタートアップに所属されている方、特にIT部門の責任者の方々は、以下の点に注意を払う必要があります:
- SaaSサービスの認証方式の見直し
- 退職時のアカウント管理手順の強化
- 重要データの定期的なバックアップと管理
この問題は、クラウドサービスの利便性と安全性のバランスを考える上で、重要な示唆を与えてくれています。