セキュリティの
学び場

今回の解説ニュース

Tornadoにオープンリダイレクトの脆弱性が発見されています。Tornadoをご利用中の方はアップデートを検討してください。発見されたオープンリダイレクトに関する脆弱性の詳細やユーザ側でできる対策について説明します。

tornadoweb が提供する Tornado にオープンリダイレクトが発生する脆弱性が発見されました。該当するのはTornado 6.3.1以前のバージョンです。

影響として、当該製品を使用しているサイトのユーザが細工された URL にアクセスすることで、任意のウェブサイトにリダイレクトされ、フィッシングなどの被害にあう可能性があるということです。対策として、開発者が提供する情報をもとに最新版にアップデートするよう呼びかけられています。脆弱性の詳細情報は、割り当てられたCVE番号「CVE-2023-28370」で検索してみてください。

攻撃者の意図したサイトへ誘導、オープンリダイレクトの脆弱性とは？

オープンリダイレクトの脆弱性について、できるだけわかりやすく説明します。

オープンリダイレクトとは、Webアプリケーションなどで指定された任意のURLにリダイレクトされる脆弱性です。Webサイトなどに必要なリダイレクト機能であっても、指定されるURLに何ら制限がかけられていない場合は、悪意のあるサイトへの誘導に利用される場合があります。

例えば、AさんがECサイトで商品を購入していたとします。カートに商品を追加して、いざ決済をする際に、ログインを求められることがあるかと思います。その際に、自動でログイン画面に遷移して、正しいIDとパスワードを入力したら元の画面に遷移することがあるのではないでしょうか。これらが、ECサイトで実装されるリダイレクトの機能です。

ここで、ログイン画面から元の画面に戻る際に、元の画面のURLを何らかの形でECサイトが知っておく必要があります。その方法の一つとして、元の画面のURLを外部から指定する仕様になっている場合がありますが、この外部から指定するURLに何ら制限がかけられていない場合は、オープンリダイレクトの脆弱性が発生してしまいます。

具体的には、元の画面のURLとしてフィッシングサイトが指定された場合、オープンリダイレクトの脆弱性があるECサイトにアクセスしたAさんは、外部から指定されたフィッシングサイトに遷移してしまうことになります。リダイレクト機能が提供されているのはあくまでもECサイトであるため、ECサイトにアクセスしたはずのAさんは、フィッシングサイトへ遷移したことに気が付くことができないかもしれません。

違和感なく誘導されたら正しいと認識？オープンリダイレクトへの対策

ユーザ側ができるオープンリダイレクトの対策として、個人情報などを入力する際は、常に正しいURLにアクセスしているか確認することが求められます。

仮に、オープンリダイレクトの脆弱性が悪用されて、フィッシングサイトを含む不正なWebサイトへリダイレクトされたとしても、個人情報などを入力しなければ被害を最小限に抑えることができる可能性があります。よって、重要な情報の入力を求められた際は、常に正しいURLにアクセスできているか確認することが求められます。

具体的には、フィッシング詐欺と同様の対策が求められますので、過去のフィッシング詐欺に関する配信も聞いていただきたいと思いますが、それに加えて、明らかにオープンリダイレクトと判断できる脆弱性が存在していた場合は、別の被害者を生まないためにも、Webサイトの所有者か、今回の脆弱性のようにIPAに対して報告をしてあげると良いかもしれません。

今回は、発見されたオープンリダイレクトに関する脆弱性の詳細やユーザ側でできる対策についてお届けしました。