Logo
x logo
2025-01-20

失敗したスタートアップの従業員は、古いGoogleログインを通じて個人情報を盗まれるリスクが高い

要約

セキュリティ研究者が発見したところによると、失敗したスタートアップの従業員は、プライベートなSlackメッセージや社会保障番号、銀行口座情報などの個人情報を盗まれるリスクが高いことが明らかになりました。この問題は、失敗したスタートアップのドメインを悪意のある攻撃者が購入し、従業員のGoogleアカウントにアクセスすることで、他のSaaSなどに「Googleアカウントを使ってログイン」を使用することで、クラウドHRサービスにログインできることが確認されたものです。Googleは一時的に問題を軽視していましたが、その後対策を検討し始めたとのことです。

このニュースのスケール度合い
6.0
/10
インパクト
6.0
/10
予想外またはユニーク度
6.0
/10
脅威に備える準備が必要な期間が時間的にどれだけ近いか
6.0
/10
このニュースを見て行動が起きるあるいは行動すべき度合い
6.0
/10

詳細分析

主なポイント

  • セキュリティ研究者のDylan Ayreyが、失敗したスタートアップの従業員が個人情報を盗まれるリスクが高いことを発見した
  • Ayreyは、失敗したスタートアップのドメインを購入し、従業員のGoogleアカウントにアクセスできることを示した
  • この手口により、従業員のプライベートなSlackメッセージや社会保障番号、銀行口座情報などが盗まれる可能性がある
  • Googleは当初この問題を軽視していたが、その後対策を検討し始めた

社会的影響

  • 失敗したスタートアップの従業員の個人情報が盗まれることで、経済的・精神的な打撃を受ける可能性がある
  • この問題が広く知られれば、スタートアップ従業員の不安感が高まり、企業の信頼性にも影響を及ぼす

編集長の意見

タイトルを見た時は何が起こったのか?と思いましたが、よーく見てみると、まず、この問題は従業員の個人情報保護の観点から重要であり、Googleをはじめとするテック企業は早急に対策を講じる必要があるとの意見も多いのですが、「立つ鳥跡を濁さず」とも言えると思います。スタートアップの経営者も、企業閉鎖時にクラウドサービスの適切な終了処理を行っておかないとえらいことになってしまうという事例です。
この記事の内容から、プライバシーを脅かす新たな存在もPickUpしていきましょう。

解説

なぜ、失敗したスタートアップの従業員は、古いGoogleログインを通じて個人情報を盗まれるリスクが高いと言われているのか?

セキュリティ研究者のDylan Ayreyが、倒産したスタートアップの元従業員の個人情報が特に危険にさらされている問題を発見しました。
この脆弱性は、Google OAuthの認証システムに関連しており、倒産したスタートアップの企業ドメインを悪意のある第三者が購入した場合、そのドメインを使って企業で使用していたクラウドサービスにアクセスできてしまう可能性があるというものです。
Ayreyは実験として、ある倒産したスタートアップのドメインを購入し、ChatGPT、Slack、Notion、Zoom、さらには社会保障番号を含むHRシステムにまでアクセスできることを実証しました。
特にスタートアップ企業は、Googleのアプリケーションや多くのクラウドソフトウェアを使用する傾向があるため、この問題の影響を受けやすいとされています。現在、約116,000の失敗したテックスタートアップのドメインが販売可能な状態にあり、数万人の元従業員が影響を受ける可能性があります。
Googleは当初この問題を「バグではなく詐欺の問題」として却下しましたが、後にAyreyに報奨金を支払い、クラウドプロバイダー向けのドキュメントを更新しました。しかし、技術的な解決策はまだ提供されていません。
最終的な解決策として、企業が閉鎖する際に適切にクラウドサービスを停止することが重要ですが、会社の清算時は経営者が多くの課題に直面している時期であり、すべての対応を適切に行うことは困難な場合が多いとされています。

今回発見された事象のフロー:セキュリティリスクの発生プロセス

  1. 問題の本質
  • Google OAuthを利用した「Sign in with Google」機能の脆弱性
  • 企業ドメインの再利用による認証システムの突破
  • クラウドサービス間の連携による被害の連鎖的拡大
  1. 技術的背景
  • Google OAuthのsub-identifier機能
    • 各Googleアカウントに固有の識別子を付与
    • 理論上は不正アクセスを防ぐべき仕組み
    • 実際には0.04%の確率で識別子が変更される問題
    • クラウドプロバイダーが実装を躊躇する原因に
  1. 被害の範囲と影響
  • 個人情報の流出リスク
    • 社会保障番号
    • 銀行口座情報
    • 社内コミュニケーション履歴
    • その他機密情報
  • 影響を受ける可能性のある規模
    • 116,000以上の失効ドメイン
    • 数万人の元従業員
    • 数百万のSaaSアカウント
  1. Googleの対応
  • 初期対応:バグではなく詐欺問題として却下
  • 再検討:報奨金の支払いと問題の認識
  • 現状の対策
    • ドキュメントの更新
    • 企業向け終了手順のガイドライン提供
    • 技術的解決策は未提供
  1. 現実的な課題
  • スタートアップ終了時の複雑な手続き
    • 従業員の解雇処理
    • 資産の処分
    • 税務処理
    • クラウドサービスの停止
  • 経営者の心理的負担
    • 失敗による精神的ダメージ
    • 細かい手続きへの注意力低下

さいごに

この問題は、現代のデジタルセキュリティが直面する複雑な課題を象徴しています。技術的な脆弱性だけでなく、人間の行動や組織の終了プロセスにまで及ぶ包括的な問題として捉える必要があります。

特に注目すべき点は、私たちの個人情報やプライバシーを脅かす存在が、必ずしもビッグテクノロジーやビッグブラザーだけではないという事実です
むしろ、かつて信頼関係にあった上司や同僚が、意図的であれ偶発的であれ、私たちの個人情報への接点を持ち続ける可能性があります

推奨される対策を整理しておきました。

  1. 従業員側
  • 個人用アカウントと業務用アカウントの明確な分離
  • 退職時の認証情報の完全な更新
  • 定期的な使用サービスの棚卸し
  1. 企業側
  • クラウドサービス終了手順の文書化
  • 第三者による終了プロセスの監査
  • 従業員データの適切な破棄手順の確立
  1. サービスプロバイダー側
  • より強固な認証システムの実装
  • ドメイン再利用に関する厳格なポリシーの策定
  • 企業終了時のサポート体制の確立

デジタル社会における個人情報保護は、単なる技術的な課題ではなく、人間関係や組織の lifecycle management を含む総合的な取り組みとして考える必要があります。

背景情報

  • スタートアップの失敗は従業員にとって大きな打撃となる
  • 多くのスタートアップはGoogleのアプリやクラウドサービスを利用しており、従業員のアカウントが危険にさらされる
  • Ayreyは以前にも同様の問題をGoogleに報告し、報奨金を受け取っている
世界のセキュリティ最前線
Packet News 一覧へ