Microsoft OneDriveファイルピッカーの欠陥、アプリにクラウドへのフルアクセスを許可

nosa

2025.10.17

Microsoft OneDriveファイルピッカーの脆弱性、アプリにクラウドへのフルアクセスを許可 ― たった1ファイルのアップロード時にも

The Hacker News – May 28, 2025

米セキュリティ企業のOasis Research Teamにより、Microsoft OneDriveファイルピッカーにセキュリティ上の欠陥が発見された。この脆弱性が悪用されると、同ツールでアップロード用に選択されたファイルだけでなく、ユーザーのクラウドストレージコンテンツ全体へのアクセスがChatGPTなどのWebサイトに許可される恐れがある。

The Hacker Newsに共有されたレポートによると、この問題はOneDriveファイルピッカーが過剰な権限を要求することに起因する。OneDriveにはきめ細かなOAuthスコープがないため、ファイルが1つしかアップロードされない場合でも、ドライブ全体への読み取りアクセスが求められるようだ。ChatGPTやSlack、Trello、ClickUpなど、マイクロソフトのクラウドサービスに統合されている複数のアプリが影響を受けるとみられる。

また、ファイルのアップロード前に表示される同意プロンプトが曖昧で、付与されるアクセスレベルが適切に伝わっていないことも事態を悪化させており、そのためにユーザーを予期せぬセキュリティリスクにさらす恐れがあると警告された。

そのほか、アクセス認証に使われるOAuthトークンがブラウザのセッションストレージにプレーンテキスト形式で保存される点や、認証ワークフローにリフレッシュトークンの発行も含まれる可能性があることが問題視されている。

責任ある開示を受け、マイクロソフトはこの問題を認めたものの、現在までに修正はされていない。安全な代替手段が導入されるまでの間は、OneDriveを使ってOAuth経由でファイルをアップロードするオプションを一時的に削除する、あるいはリフレッシュトークンの使用を避け、アクセストークンを安全な方法で保管し、不要になったら削除することが推奨されている。