Astrix Securityはこのほど、「GhostToken - Exploiting GCP application infrastructure to create invisible, unremovable trojan app on Google accounts - Astrix Security」において、Google Cloud Platform(GCP)にゼロデイ脆弱性があると伝えた。GCPに、すべてのGoogleアカウントに影響を与える「GhostToken」と名付けられた深刻な脆弱性が存在することが明らかとなった。
GhostTokenは被害者のGoogleアカウントが侵害されてしまう重大な脆弱性。この脆弱性を悪用することで、攻撃者は被害者のアプリ管理ページから悪意のあるアプリを隠すことができることがわかった。
アプリ管理ページはGoogleユーザーが自分のアプリを確認し、アクセスを取り消すことができる唯一の場所であるため、被害者は悪意のあるアプリをGoogleアカウントから削除できなくなってしまう。逆に、攻撃者はトークンを使用して被害者のアカウントにアクセスし、悪意のあるアプリの表示および非表示などを行い、操作を隠蔽可能としている。
悪意のあるアプリが完全に隠されているため、被害者は自分のアカウントが侵害されていることに気づかず、問題を解決する方法がないと説明している。
この欠陥は2022年6月19日に発見され、すでにGoogleに報告済みとされている。Googleは2023年4月7日にGhostTokenに対するパッチを正式にリリース。公開されたパッチで隠蔽状態のアプリもアプリ管理ページに表示されるため、他のアプリケーションと同様にユーザーが削除できるようになると報告している。
今回発覚したGhostTokenのように、サイバー攻撃の複雑なシナリオが増加しており、攻撃対象も急増している。そのため不必要なアクセス、未使用のアクセス、過剰な特権を持つサードパーティのアクセスを取り除くために、セキュリティチェックを日頃から行うことが望まれている。