「Googleでログイン」オプションを使ってウェブサイトにログインするのは本当に便利で、おそらくあなたはすでに何百回も使っているでしょう。しかし、研究者たちは、企業の従業員としてこの機能を使用すると、プライバシー侵害のリスクにさらされ、さらに悪いことに、まだ解決策がないことを発見しました。
「Googleでログイン」機能は、同じドメイン内の以前のユーザーからの痕跡を残します。
Trufflesecurityの報告によると、GoogleのOAuthシステムに脆弱性が発見されました。この脆弱性は、「Googleでログイン」を使用して従業員にログインを許可している企業で働いていたすべての人に影響を与え、現在は閉鎖されています。
問題は、あなたが企業の従業員であり、会社のアカウントを使用してSlackなどのアプリケーションにログインするために「Googleでログイン」機能を使用すると、アプリケーションは2つのデータ、ドメインとメールアドレスを受け取ることです。アプリケーションがこの2つのデータの両方を受け取ると、ユーザーのログインが許可されます。
「ドメイン」部分は企業のドメイン名であり、アプリケーションにあなたがその特定の企業の従業員であることを伝えます。しかし、企業が閉鎖した場合、悪意のある人物が未使用のドメインを購入して所有権を取得する可能性があります。企業が閉鎖前に適切に「クリーンアップ」を行わないと、悪意のある人物は従業員のメールアドレスを再作成し、それらを使用してサードパーティのサービスにログインできます。
幸いなことに、悪意のある人物は企業の古いGmailアカウントにアクセスしてメールを読むことはできませんが、Trufflesecurityは、ChatGPT、Slack、Notion、Zoom、HRシステムなどの元従業員のアカウントにアクセスできることを発見しました。これらのアカウントはすべて機密データを保存する可能性がありますが、HRシステムは社会保障番号や銀行情報などの情報を含むため、最も危険です。
残念ながら、この脆弱性が最初に報告されたとき、Googleは企業がデータを適切に削除しなかったとして非難しました。しかし、TrufflesecurityがShmooconで攻撃のデモを行った後(上記のビデオの5:34:00で見ることができます)、Googleは再考する必要があります。
待っている間、閉鎖された企業で働いているときに「Googleでログイン」を使用した場合、データが侵害される可能性があります。詳細情報に注意し、データ侵害に気づいたら問題を解決する準備をしてください。また、仕事中に便利なログイン機能を使用したことがない場合でも、「Googleでログイン」をどのWebサイトでも使用しない方がよい理由はたくさんあります。
重要なポイント:
GoogleのOAuthシステムに脆弱性があり、悪意のある人物が閉鎖された企業の元従業員のアカウントにアクセスする可能性がある。
特に、HRシステムなどの機密性の高い情報を含むアカウントが危険にさらされる。
Googleは当初、企業側の責任を主張したが、Trufflesecurityのデモにより再考を迫られている。
「Googleでログイン」の使用には注意が必要であり、可能であれば使用を避けることが推奨される。
