iOS用WordPressアプリのバグによりアカウントトークンが第三者に漏洩

WordPressは、あるiOSのバグを修正したと発表した。そのバグとは誤ってアカウントトークンを第三者のサイトに公開してしまうというものだ。

同社から顧客への電子メールの中で(TechCrunchも内容を確認した)、このコンテンツマネジメント大手企業は「iOS向けWordPressアプリケーションに、セキュリティ認証情報を扱う方法上の問題があったことを発見した」と語っている。同社は「予防策として」影響を受けたアカウントのアカウントトークンをリセットした。

同社のAndroidアプリは影響を受けておらず、また自前でインストールしたWordPressホストも影響を受けていない。

問題のアプリが誤って秘密のアカウントトークンを第三者に送信する場合があったのだ。なおユーザー名やパスワードは含まれていなかった。

アカウントトークンとは、毎回パスワードを入力しなくてもアプリやサービスにログインした状態を維持できるようにするための、小さなデータである。もしこれが漏洩したり盗まれたりした場合、そのアカウントトークンを使えば、パスワードを必要とせずに、誰でも対応するアカウントへアクセスすることが可能になる。

WordPressの親会社であるAutomatticに問い合わせたところ、さらに追加の説明を手に入れることができた。簡単に言えば、このバグは、外部のサイトで画像をホスティングしているWordPress.comプライベートアカウントから、画像が取り出される方法の中で発見された。例えば、WordPress.comサイトのあるプライベートに、Flickrでホストされている画像の投稿またはページがある場合、画像の取得に際してアプリはWordPress.comアカウントトークンをFlickrに送信する。

これは意図された動作ではない。これが意味することは、アカウントトークンが第三者の企業のログに残る可能性があるということであり、悪意ある者がWordPress.comのアカウントを狙う可能性があるということだ。とは言え、アカウントへのリスクは最小限であり、ユーザーは過度に心配するべきではない。

プライベートサイトを使うすべてのWordPress iOSユーザーに対しては、アカウントトークンがリセットされた。つまりパスワードを変更する必要はない。

TechCrunch宛ての電子メールでAutomatticの広報担当者は次のように述べている。「最初に影響を受けたバージョンは2017年1月にリリースされたものでした。2019年3月15日にリリースされたバージョン11.9.1ではこの問題が解決されています」。

WordPressは何人の顧客が影響を受けたのかをすぐには回答しなかったが、モバイルインサイト企業のSensor Towerは、アプリは2012年以来iOSで930万回インストールされ、昨年は約130万回インストールされたと電子メールで回答してきた。

ユーザーはできるだけ早く自分のアプリを更新する必要がある。

We found a massive spam operation — and sunk its server

画像クレジット: Bryce Durbin/TechCrunch

[原文へ]

(翻訳:sako)

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。