-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
Google、Chromiumにおける未パッチの脆弱性情報を誤って公開
Googleが、Chromiumにおける未修正の脆弱性に関する詳細を誤ってネット上に公開。ChromeやMicrosoft Edgeなど、Chromiumベースのブラウザを使用する人々を脅かす事態となった。
問題の脆弱性は、ブラウザが閉じられている場合でもJavaScriptがバックグラウンドで実行され続けることにより、リモートコード実行が可能になるというもの。長時間の動画やその他の大容量ファイルをバックグラウンドでダウンロードできるようにする標準規格である「Browser Fetch」プログラミングインターフェースに関連した脆弱性で、攻撃者が悪用した場合、ユーザーのブラウザ利用状況の一部を監視するための接続を確立したり、サイト閲覧やサービス拒否攻撃(DoS攻撃)を行うためのプロキシとして利用したりすることが可能になるという。
同脆弱性の発見者である独立系研究者のLyra Rebane氏は、2022年12月にGoogleへ脆弱性を報告。そのおよそ4年後の2026年2月10日、この問題は「修正済み」とマークされ、それからわずか数分後には「複数の懸念事項」により再度オープンされた。その後、ラベルが変更されて「Chrome脆弱性報奨金プログラム(VRP)」パネルでの審査が可能になったのち、2月12日に同脆弱性は再び「修正済み」とマークされたという。
そして5月20日、同脆弱性がその時点までに14週間以上クローズ状態になっていたこと、またシステム上で「修正済み」と処理されていたことを受け、バグトラッキングシステム「Chromium Issue Tracker」において同脆弱性へのアクセスが解禁された。Rebane氏は、脆弱性の詳細およびPoCエクスプロイトコードが公開されたことを受けてテストを実施したところ、Chrome Dev 150およびEdge 148で脆弱性が残存していることを確認したという。
Googleはその後、トラッキングシステム上の同脆弱性に関する情報を削除したものの、アーカイブサイトなどでは依然としてこの情報を閲覧することができるようになっているとされる。
Rebane氏によれば、同氏はこれまでにも複数のChromeまたはChromiumの脆弱性を報告しており、それらはパッチ適用に至っているが、修正されるまでに長い時間がかかるのはよくあることだという。ただ、今回ほど長期間修正されなかったケースは初めてとのこと。
GoogleのAPIキーは削除されても最長23分間有効、調査で明らかに
GoogleのAPIキーは削除されてからも数分間有効で、最長23分後まで認証に使用できるという。Aikido Securityが報告した。
Aikido社は、この遅延時間を測定するために2日間にわたって10件のトライアルを実施。APIキーの削除後、Google Cloud Platform(GCP)コンソール側では即座に削除されたものの、キーが完全に有効でなくなるには平均16分、最長で23分近い時間がかかったという。
APIキーは、ソフトウェアアプリケーション間の認証リクエストに使われるデータの文字列。これが流出して攻撃者の手に渡った場合、管理者が直ちにキーを削除したとしても、その後16〜23分間にわたって攻撃者はプロジェクト上で有効化されているあらゆるAPIへの完全なアクセス権を維持できることになる。これにより、キャッシュされた会話内容を盗み出したり、Geminiにアップロードされたファイルをダンプしたりすることが可能になるほか、BigQueryのデータやMaps APIにもアクセスできるようになる恐れがある。
Aikidoによれば、このタイムギャップは、Googleの認証インフラにおける「結果整合性(eventual consistency)」により生じるという。この分散型システムモデルにおいては、更新情報が一度にすべてのサーバーに伝えられるのではなく、段階的に世界中のサーバーに伝播する。このため、キーを削除しても、「削除した」というメッセージはすぐに世界全体へ届けられるわけではなく、順を追って世界全体のGoogleサーバーへ伝えられていくことから、数分間の遅延が生じる結果となる。
Aikidoはテスト結果をGoogleへ報告したものの、同社は「修正の予定なし」として報告をクローズ。伝播の遅延は既知のシステムプロパティであり、セキュリティ上の欠陥ではないとした。このためAIkidoの研究者らは、Google APIキーの削除を「30分間かかる作業」とみなし、その時間内は認証の正当性についてGCPコンソールをモニタリングするよう推奨している。
関連資料をダウンロード
Codebook 2025 ~サイバーセキュリティ分析レポート~
いつもCodebookをご覧いただきありがとうございます。 Codebookでは2023年より、平日ほぼ毎日、サイバーセキュリティ/インテリジェンス関連の英文ニュースを厳選し、日本語で簡潔に要約...
資料ダウンロード
デジタル時代における世界の紛争
地政学的紛争とサイバー作戦の境界は曖昧さを増し、国家や非国家主体によるサイバー攻撃が日常的に行われる中、戦争や外交の在り方が複雑化しています。 特にハクティビズムや偽情報キャンペーンは、ロシア・ウク...
資料ダウンロード
-300x200.png)
【最新版】要件主導型インテリジェンスプログラムの構築方法|Silobreaker Report
本レポートは、サイバー脅威や地政学的リスクが高度化・複雑化する現代において、組織が適切な意思決定を行うために不可欠な「脅威インテリジェンス」の実践方法を解説するハンドブックです。特に、インテリジェンス...
資料ダウンロード
OSINTから読み解く国家支援サイバー脅威の攻撃トレンド
国家の支援を受けたサイバー脅威が進化を続けています。昨年の国内暗号資産取引所からのビットコイン流出に、北朝鮮アクターの巧妙なソーシャルエンジニアリングが利用されていたことは、記憶に新しいかと思います。...
資料ダウンロード
