OAuthリダイレクトは悪用されますか?
- コンステラ
- 2 日前
- 読了時間: 1分
A. 条件次第で悪用され得ます。
OAuthは、パスワードを共有せずに別のアプリへアクセス権を渡す仕組みで、安全化のための機構も備えています。たとえばOAuth2.0では、不正な転送を防ぐため、正しいリダイレクト先を事前登録する必要があります。
一方で、特定条件下ではエラー処理などの流れの中で別ページへ転送できる機能もあります。
今回観測された事例では、この転送の仕組みが悪用されました。
研究者によると、Entra IDに対して特定のパラメータを組み合わせることで、攻撃者が設定した転送先へ誘導される場合があるとされています。その結果、フィッシングページへ転送され、セッション情報を傍受される可能性も指摘されています。
さらに、正規の利用に見せかける細工も施され、サービス側での不正検知が難しくなるような挙動も確認されています。
これは標準仕様に沿った本来の動作を利用する、いわば設計上の隙間を突く手法と言えます。