IDaaSの活用に起因する脆弱性とその悪用 #

概要 #

本稿では、Webやモバイルのアプリケーションのユーザーへのサインインおよびサインアップ機能を提供するサービスであるB2C向けのIdentity as a Service(以後 IDaaSと表記する)の活用に起因するアプリケーションの脆弱性について解説します。

IDaaSとは #

IDaaSは大きな区分ではSaaS(Software as a Service)と同じ区分であり、Webやモバイルのアプリケーションのユーザーへのサインインおよびサインアップ機能、ユーザの管理機能などの認証やそれに関わる機能を提供するクラウドサービスです。

上記のような用途で利用されるIDaaSの例として以下のようなものが存在します。

• Amazon Cognito User Pool
• Firebase Authentication
• Google Identity Platform
• Microsoft Azure AD BtoC
• Auth0

活用に起因する脆弱性 #

ここからは、IDaaSの活用に起因する脅威 / 脆弱性について解説します。

IDaaSを用いる際に発生しうる脅威 / 脆弱性は大きく分けて3つに分類できます。

1. 仕様として定義していないアクションの存在が悪性の副作用をもたらすもの
2. 仕様として定義したものが適切にハンドリングされず悪性の副作用をもたらすもの
3. IDaaSから取得した値やTokenの対に完全な信頼をおくことによる、値の悪性作用をもらすもの

本解説では、上記の分類に該当する脆弱性について記述していきます。

脆弱性 / 脅威 / 悪用 #

• 意図しないサインアップ経路の存在
• 権限に関するカスタム属性の変更
• デフォルトエラーによるユーザーの存在判定
• EDoS(経済的/資金的なサービス停止攻撃)