アイデンティティ保護ソリューションAstrix Securityが、Google Cloud Platformに0-Day脆弱性を発見

アイデンティティを保護するための企業の信頼できるソリューションであるAstrix Securityは、Google Cloud Platform（GCP）にゼロデイ脆弱性を発見しました。GhostTokenと名付けられたこの脆弱性により、攻撃者は、すでに認証されているサードパーティ製アプリケーションを悪意のあるトロイの木馬アプリに変換することで、被害者のGoogleアカウントへの永久的かつ削除不可能なアクセスを獲得し、被害者の個人データを永遠に晒したままにします。これには、Gmail、Drive、Docs、Photos、Calendarなどの被害者のGoogleアプリや、Google Cloud Platformのサービス（BigQuery、Google Computeなど）に保存されているデータも含まれる可能性があります。Google Workspaceの30億人のユーザーを含む、あらゆるGoogleアカウントが本脆弱性のターゲットとなる可能性があります。Astrix社は2022年6月にこのバグを公開し、2023年4月にGoogle社からパッチがロールアウトされました。

このゼロデイ脆弱性は、Astrix Security Research Groupが日常的な分析プロセスにおいて、あるAPIコールが異常な結果を返すことを発見しました。さらに調査を進めると、サードパーティ製アプリケーションを隠すことができるため、アカウント所有者はそのアクセスを取り消すことができず、その存在すら知ることができない、という欠陥が判明しました。悪意のあるサードパーティアプリに付与された権限によっては、攻撃者は被害者のプライベートなGmail通信やGoogleドライブ上の個人ファイルにアクセスすることができます。脅威者は、被害者になりすまし、ソーシャルエンジニアリング攻撃を仕掛けることもあります。

被害者は、Google Marketplaceやオンラインで利用できる多くの生産性向上ツールの中から、一見何の変哲もないアプリをインストールすることで、知らず知らずのうちにこうした悪意のあるアプリケーションへのアクセスを許可してしまうことがあります。悪意のあるアプリが許可されると、脆弱性を悪用した攻撃者は、Googleの「アカウントにアクセスできるアプリ」管理機能を回避することができます。この機能は、Googleユーザーが自分のアカウントに接続されたサードパーティ製アプリを閲覧できる唯一の場所です。

AstrixのCEO兼共同設立者であるAlon Jacksonは、次のように述べています。「Googleは、多くの人が日常生活で、そしてビジネスを管理するために使うデフォルトの存在となっています。そのため、ハッカーがGoogleアカウントの中に直接座って、個人情報やスケジュール、ビジネス上の機密情報、従業員情報などを観察することを想像すると、とても心配になります。Googleの個人ユーザーは常に脆弱であるだけでなく、企業のセキュリティにも重大な影響を与える可能性があります。この重大な欠陥を発見するために好奇心と責任感を発揮し、日々その専門性を発揮し続けている当社の一流の研究チームを大変誇りに思います。サードパーティ製アプリとの接続性が飛躍的に向上するにつれて、人間以外のIDの数も増えています。私たちは、この困難で拡大する攻撃対象領域を保護するために、熱心に取り組んでいます。」

今日のハイパーコネクテッドワークスペースでは、従業員は生産性と効率を高めるために、クラウドサービスやAPIをGoogle Workspaceなどのコアビジネスアプリケーションに自由かつ独自に統合しています。カレンダー用のオンライン会議アプリであれ、電子メール整理アプリであれ、悪意のあるアプリへのアクセスをうっかり許可してしまった従業員は、機密かつ重要な企業データの鍵を渡してしまう可能性があり、最近GitHub、Slack、CircleCI、Microsoftへの攻撃で見られたように、危険な影響を与える可能性がある行為です。

Astrix Research Team LeadのTal Skvererは、次のように述べています。「Astrixでは、Googleのようなクラウドプラットフォームがサードパーティアプリとの接続をどのように許可しているかを調査し、技術的な統合フローを分析することにほとんどの時間を費やしています。そのため、GoogleのAPIで異常な結果に気づいたとき、警鐘を鳴らし、この破壊的な脆弱性の可能性を発見することができました。GhostTokenのような悪用があるからこそ、私たちは企業に対して、APIキー、OAuthトークン、サービスアカウントなどの人間以外の接続やアイデンティティを、ユーザーの認証情報を保護するのと同じ方法で保護することを強く推奨します。」

Astrix社について
2021年にテルアビブで設立されたAstrix Securityは、クラウドファースト企業が新世代のサプライチェーン攻撃から防御することを支援します。Astrixは、すべての非人間的な接続とアイデンティティに対する全体的な可視性を提供します - 過剰特権、不要、誤動作、悪意のあるアプリ間接続を自動的に検出して修復し、サプライチェーン攻撃、データ漏えい、コンプライアンス違反の防止につなげます。イスラエル国防軍8200軍事情報部隊出身の2人のベテラン、CEOのAlon JacksonとCTOのIdam Gourが率いるAstrixのチームは、急速に拡大しています。Astrixは、シード資金として1,500万ドルを調達し、Bessemer Venture Partners、F2 Venture Capital、Venrockの大手投資家から支援を受けています。