「Googleでサインイン」の重大な脆弱性が指摘される

　セキュリティー企業Truffle Securityは1月14日、グーグルの認証システム「Googleでサインイン」に重大な脆弱性があることを明らかにした。倒産したスタートアップ企業のドメインを購入することで、元従業員のアカウントに不正アクセスできる可能性があるとしている。

　同社は実際に倒産企業のドメインを購入し、ChatGPT、Slack、Notion、Zoom、HR systemsなど複数のサービスで元従業員のアカウントにアクセス可能であることを実証。サービスによっては、税務書類、給与明細、保険情報、社会保障番号などの機密情報も閲覧できたという。

　脆弱性の影響範囲についてTruffle Securityは、現在購入可能な倒産スタートアップのドメインは10万以上あるとした上で、米国ではテック系スタートアップの90%が最終的に倒産し、50%が「Google Workspace」を使っていると指摘している。

　Truffle Securityによれば、本脆弱性は2024年9月30日にグーグルに報告されたが、同社は当初、対応を拒否。その後、12月19日に再検討した上で、修正に取り組んでいる。なお、1月15日現在、修正はまだ実装されていない。