トヨタ自動車のサプライヤーポータルに脆弱性、パスキーによる認証がChromeとAndroidでも実現【2023年2月12日配信】

/目次/
1.トヨタ自動車のサプライヤーポータルに脆弱性
2.パスキーによる認証がChromeとAndroidでも実現

━━━━━━━━━━━━━━━━━━━━━━━
■1.トヨタ自動車のサプライヤーポータルに脆弱性
━━━━━━━━━━━━━━━━━━━━━━━

BleepingComputerの記事によるとトヨタ自動車のサプライヤーポータルに認証回避の脆弱性が存在することをセキュリティリサーチャーが発見し、トヨタ自動車に報告したとのことです。

サプライヤーポータルは電子メールアドレスを元に生成されたJSON Web Token (JWT)を用いることでパスワードなしでログインすることができ、従業員の電子メールアドレスを入手できれば誰でもJWTを生成してサプライヤーポータルにログインすることができたとのことです。

セキュリティリサーチャーはLinkedInなどの公開情報から従業員の電子メールアドレスを入手しサプライヤーポータルにログイン、更にシステムのAPIの情報公開の脆弱性を使用してシステム管理者権限を取得できたとのことです。

システム管理者はプロジェクトのスケジュール、サプライチェーンの格付け情報、約14,000件の個人データにアクセス可能だったとのことです。

Researcher breaches Toyota supplier portal with info on 14,000 partners

【所感】
OWASP Top10第1位のアクセス制御の不備に起因する脆弱性です。サプライヤーポータルAngular JSで実装されていたとのことです。サーバーサイドのWebアプリケーションと比較し、サーバーサイドのWebAPIやクライアントサイドのアプリケーションは各種脆弱性が混入しやすい傾向があるように感じました。

ホーム - OWASP Top 10:2021

━━━━━━━━━━━━━━━━━━━━━━━
■2.パスキーによる認証がChromeとAndroidでも実現
━━━━━━━━━━━━━━━━━━━━━━━

ワイヤードの記事によるとグーグルのAndroidスマートフォンとウェブブラウザー「Google Chrome」に、パスワードに代わる認証方式「パスキー」が実装されたそうです。

「パスキー」は公開鍵暗号方式を用いたユーザ認証方式です。パスワードによるユーザ認証と比較すると、フィッシングによってパスワードを第三者に奪取されたり、過去に漏洩したパスワードやパスワードの推測による不正アクセスのリスクに耐性があります。

パスワード不要の認証がChromeとAndroidでも実現、新方式「パスキー」の使い方

【所感】
Apple、Google、Microsoftがパスキーの対応を表明しています。主要なプラットフォーマ、ブラウザベンダが対応を表明していることから遂にパスワードに拠らないユーザ認証が普及するかもしれません。