Google製品の脆弱性情報筒抜けも　社内情報管理ツールに重大な問題、外部の研究者が報告

今回発見した手口を使えば、Google製品の脆弱性に関する全情報を開示させてしまうこともできると思ったと研究者は報告している。

アレックス・バーザン氏のMedium

　米Googleが社内で脆弱性などの情報管理に使っている「Google Issue Tracker」（社内での名称はBuganizer System）について、社外には非公開のはずの情報にアクセスできてしまう問題を発見したとして、研究者のアレックス・バーザン氏が10月31日、Mediumへの投稿で明らかにした。

　それによると、Issue TrackerはGoogleの担当者のほか、同社に協力している外部のユーザーにも必要に応じて公開されている。しかしそうした外部ユーザーには非常に限られた権限しか与えられず、アクセスできる内容はごく一部に限られる。

　バーザン氏は同社への脆弱性報告を通じてIssue Trackerの存在を知り、新しいスレッドが作成される仕組みや、電子メールによる通知の仕組みを通じてこのシステムに侵入を試みることを思い立ったという。

　同ツールに新規で登録される問題は勤務時間中の平均で1時間あたり2000～3000件。このうち外部に公開されているのは0.1％に過ぎず、同システムの情報が流出すればかなり重大な影響が予想される。

　バーザン氏はメールアドレス登録の仕組みを突いて、Google従業員が使う「@google.com」の電子メールアドレスをGoogleのシステムに登録。これを使ってIssue Trackerにログインすると、同社の社内向けログインページにリダイレクトされた。ここにログインすることはできなかったものの、さまざまな方法で悪用される恐れがあるセキュリティ問題としてGoogleに報告したという。

　さらに、Issue Trackerの不適切なアクセスコントロールなど複数の重大な問題を発見し、自分自身のアカウントへの攻撃を試みた結果、Issue Trackerに登録されている他の情報も閲覧できてしまうことが分かった。同氏は一連の問題の報告について、Googleから総額1万5600ドルの賞金を受け取ったと伝えている。

バーザン氏がさまざまな方法を試した結果、Issue Trackerに登録されている他の情報も閲覧できてしまうことが分かった

　今回発見した手口を使えば、Google製品の脆弱性に関する全情報を開示させてしまうこともできると思ったとバーザン氏は言う。しかし「Googleに問題を報告すると、同社のセキュリティチームによって1時間後には問題のエンドポイントが無効化された」といい、この経験から、「危険な脆弱性は全て1時間以内に無力化されてしまうので、影響は最低限に抑えられる」と評価している。