本日、サイバーセキュリティチームの Oasis Research Team は、Microsoft OneDrive に高リスクのセキュリティ脆弱性があり、ファイルセレクターの権限制御の欠陥により大規模なデータ漏洩につながる可能性があることを明らかにしました。この脆弱性は、Microsoft OneDrive の OAuth 認証メカニズムの設計上の欠陥に起因しています。ユーザーが 1 つのファイルをアップロードするだけでも、システムはデフォルトでクラウド ストレージ ドライブ全体への完全な読み取りアクセスを要求します。
承認インターフェースでは実際の権限の範囲が明確に表示されないため、ユーザーが知らないうちにすべてのファイルへのアクセスを許可してしまうことがよくあることに注意してください。さらに深刻なのは、OAuth トークンがブラウザ セッションにプレーン テキストで保存されることです。長期リフレッシュ トークン メカニズムと組み合わせると、攻撃者はこれを利用してユーザーのクラウド ディスク データを継続的に盗み、機密性の高い企業情報や個人情報を公開することができます。技術チームは、この脆弱性は共同作業に OneDrive を利用している企業ユーザーにとって特に脅威となると指摘しました。攻撃者がトークンを傍受すると、二次検証を回避し、チームの共有ドキュメントや財務データなどのコア資産に直接アクセスできるようになります。
マイクロソフトは脆弱性を認め、修正することを約束しているが、記事執筆時点ではパッチはリリースされていない。マイクロソフトのクラウドサービスが重大なセキュリティリスクにさらされるのは今年2度目となる。以前、Azure の多要素認証システムの脆弱性により、数百万のアカウントが危険にさらされていました。セキュリティ専門家は、近い将来、サードパーティ製アプリケーションを使用して OneDrive 機能にアクセスする際にはユーザーが注意し、承認済みアプリケーションのリストを定期的に確認し、疑わしい権限を適時に取り消すことを推奨しています。マイクロソフトの広報担当者は、より洗練された権限分類ソリューションを開発しており、将来的にはリスク警告インターフェースをより明確に更新する予定であると述べた。