orangeitems’s diary

クラウドで働くエンジニアの日々の感想です。

GoogleもPeingも、脆弱性のレベルは似たようなもんだよねって話

f:id:orangeitems:20190201114749j:plain

 

Peingの脆弱性の件は初動対応がまずいという話を書きました。一方で、今日Googleから受け取ったメールを見て、脆弱性のリスクについては大企業もベンチャーも似たようなものなんだということを深く確信しました。

 

Googleから受け取ったメール

いつも Google をご利用いただきありがとうございます。

「ソフトウェア アップデートに伴う Google+ API への影響」の件に関してご連絡いたします。ソフトウェア アップデートに伴い発生した技術的な事象により、2018 年 11 月 7 日から 2018 年 11 月 13 日(太平洋時間)にかけて Google+ API(アプリケーション プログラミング インターフェース)に影響が生じました。本事象は 2018 年 11 月 13 日に解決しています。今回の技術的事象の影響範囲はユーザーのプロフィール情報を返す Google+ API に限られることを確認いたしました。また、次の 2 つの意図しない影響が生じた可能性がございます。

1. お客様がご自身のプロフィール情報(名前、メールアドレス、職業など)の閲覧権限をアプリに付与していた場合、閲覧権限を付与していないプロフィール項目に対しても、アプリが誤って要求し、閲覧することができた。

2. お客様がご自身のプロフィール情報を共有しているユーザーが、お客様の一般公開プロフィール項目の閲覧権限をアプリに付与した場合、想定のとおり、アプリは一般公開プロフィール項目を要求し、閲覧することができた。しかし、そのユーザーと共有しているプロフィール項目であれば、一般公開されていないものに対しても、アプリが誤って要求し、閲覧することができた。

本事象はプロフィール項目に限って発生したものであり、デベロッパーが、不正行為や個人情報の盗難によく使用される情報(財務データ、政府発行の個人識別番号、パスワードなど)にアクセスできたということではありません。

本事象は弊社の自動テストにより検出されたもので、2018 年 11 月 13 日(太平洋時間)に修正されております。なお、この 6 日間に上記の事象に該当したアプリケーション デベロッパーのいずれかが、本事象を認識していた形跡や、対象のデータをなんらかの方法で不正に使用した形跡はありません。

ご参考までに、影響を受けた項目と対応するアプリ名(該当する場合)のリストを添付しております。アカウント情報へのアクセスを許可したすべてのサードパーティ製アプリのリストについては、セキュリティの設定で [アカウントにアクセスできるサードパーティ アプリ] をご確認ください。

本事象につきましては、Google+ に関する 2018 年 12 月 10 日のブログ投稿にも情報が記載されております。

このたびは、ご不便をおかけしましたことを心よりお詫び申し上げます。ご不明な点がございましたら、こちらのフォームからお問い合わせください。
今後ともよろしくお願い申し上げます。

Google Apps チーム

 

これは、下記のニュースの件と同じ内容です。

gigazine.net

Googleによると、2018年11月のアップデート時に、新たに5250万人以上のユーザーの個人情報が流出する危険のあるGoogle+ APIの脆弱性が発見されたとのこと。このソフトウェアのバグによって、ユーザーの氏名・メールアドレス・職業・年齢が、たとえ「非公開」に設定されていてもサードパーティアプリからアクセスできる状態になっていたそうです。なお、影響を受けた可能性のあるユーザーに対しては、Google側からその旨を通知するプロセスが進行中だとのこと。

この脆弱性を持つAPIが発見されたのは2018年11月7日で脆弱性は11月13日に修正されており、その期間中にサードパーティアプリによって情報を取得するために悪用されたという証拠はないとGoogleは述べています。

 

Webサービスは脆弱性リスクに常にさらされているということ

Peingの運営元ジラフの最新の報告書はこちらです。

jiraffe.co.jp

 

正直言って、上記2件の脆弱性のレベルは似たようなものだと思います。

しかし、Googleの脆弱性のニュースはそこまで話題にならず、逆にPeingの件はツイッターで炎上してしまいました。

Googleぐらい大きいと炎上しにくいのか、それともGoogle+を使っている人が日本では少なかったから話題にならなかったのか、サービス停止を伴わなかったから目立たなかったのか、よくわかりませんが目に見えて反応の差がありました。

Googleはサービスを閉じず、その場でちょちょいと修正して、後からこんなことがあったと発表しつつ、Google+自体を閉じる時期を前倒しするという対応を取っています。

Peingはメンテナンスに急遽突入し、理由がわからないまま憶測を呼び、最後に報告書出てきたりメンテナンスを完了したりという状況でした。

影響範囲からするとむしろ世界のGoogleのほうがやらかし感が大きいのですが、何とも対照的な推移だったと思います。

 

リスク対応は準備が大事

ということで、インターネットで何らかのアプリケーションを公開し運用されている企業は、絶対に脆弱性があることを前提に危機管理体制を構築し、かつ手順を整備したほうが絶対にいいと思います。繰り返しますがGoogleでも失敗するのに、他の企業が失敗しないなんてありえません。経営者を含めてエスカレーションフローや報告書のひな型を用意するべきです。脆弱性の検出プロセスも定期的に組み込まないといけませんね。

インシデント対応はユーザーに対して先手先手で臨むことで、炎上を防げます。Googleすらやらかすのですから、むしろ発生時の初動対応と完結までのプロセスこそビジネス継続性の命運をわけると思います。