「OpenSSLの脆弱性「Heartbleed」に続き、人気のオープンソースセキュリティソフトウェアでまた1つ大きな脆弱性が見つかった。今回、脆弱性が見つかったのはログインツールの「OAuth」と「OpenID」で、これらのツールは多数のウェブサイトと、Google、Facebook、Microsoft、LinkedInといったテクノロジ大手に使われている。」(出所:OAuthとOpenIDに深刻な脆弱性か–Facebookなど大手サイトに影響も)
あのなぁ…。英語版のCNETで出てから、ZDNetとかMashableとかですぐにこの記事を叩く記事が出て、その後日本語版が何日も出なかったので、「あぁ、日本のCNETは良識があるな」と思っていたら、単にゴールデンウィークでおやすみでしたか。そうですか。orz
元記事がそうなので、この翻訳記事も当然そうなるのだが、ツッコミどころ多すぎ。英語版では、コメント欄があるので思いっきり突っ込まれているが、日本語版には無いのでこの記事のダメさ加減も一般の人にはわからないだろう。
まず、「OAuth」も「OpenID」も、OpenSSLのような「ツール」では無い。これらは標準規格あるいはプロトコルと呼ばれるものであり、OpenSSLの世界でいうならば、TLSにあたる。HeartbleedはOpenSSLという一実装の問題であり、TLSの問題ではない。同様にCovert Redirectは、OAuthやOpenIDの実装の問題であり、標準規格の問題ではない。実装の問題をあたかも標準規格の問題で有るかのごとく書くのは、針小棒大と言われてもしかたあるまい。
次に、「発見した」と言っているが、この問題はオープン・リダイレクタといって6年以上前からよく知られている問題で、Webサイトは当然対策をしていてしかるべきものだ。何を今更、なわけだ。Microsoftが、「調査を行ったところ、脆弱性はサードパーティーのドメインに存在しており、自社サイトには存在しない」というのも、おそらくこのことを指していると思われる。ちなみにWebサイトがしなければいけない対策はもちろんこれだけではない。
なお、Googleが脆弱として挙げられているのは、OpenID Authentication 2.0のGoogle実装についてであり、OAuthと組にして語られるOpenID Connectでは無いことにも注意が必要だ[1]。
今回の一連の記事で一番ダメなのはしかし、Hertbleedとは比べるべくもないリスクをあたかもそうであるかのごとく扱っていることだ。Heartbleedというオオカミが来た直後にまた「オオカミが来た」と騒ぐと一旦騒ぎになる。だが、それが実は違ったということが続くと、人々はニュースに反応しなくなってしまう。
そして、本当のオオカミが来た時には手遅れになってしまうのである。
個人のブログが何か書き立てるのは仕方がない[2]。CNETのようなマスメディアには、マスメディアとしての自覚をもって、ちゃんと検証してから報道してもらいたいものである。
なお、「Covert Redirect」のリスクと対策に関しては、英文だがこちらにまとめたので、興味のおありの方はお読みくださると幸いである。
[1] ちなみに、Googleの実装は、OpenID Authentication 2.0の第13章のRP Discoveryを実装していないようでは有る。
[2] Heartbleed同様のマーケティング手法を使っていることに不快感を表明する専門家は多いが。