セキュリティ

SECURITY

公開：2024-11-08

【CVE-2024-51561】AeroにおけるOTP検証の脆弱性が発見、他ユーザーアカウントへのアクセスが可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Aeroに認証バイパスの脆弱性が発見される
• OTP検証プロセスに関する実装の不備が原因
• 攻撃者は他のユーザーアカウントにアクセス可能

AeroのOTP検証における認証バイパスの脆弱性

Indian Computer Emergency Response Team（CERT-In）は、Brokerage Technology Solutions社のAeroにおいて認証バイパスの脆弱性【CVE-2024-51561】を2024年11月4日に公開した。この脆弱性は特定のAPIエンドポイントにおいてOTP検証メカニズムが適切に実装されていないことに起因しており、深刻度はCVSS v4.0で9.3（CRITICAL）と評価されている。^[1]

認証済みのリモート攻撃者は第二認証要素の処理中に応答を傍受し改ざんすることで、OTP検証を回避して他のユーザーアカウントにアクセスすることが可能となる。この脆弱性はCWE-807として分類されており、セキュリティの判断における信頼できない入力への依存が主な原因となっている。

この脆弱性の影響を受けるバージョンは120820241550より前のバージョンとされており、ベンダーは既に対策版をリリースしている。SSVCによる評価では技術的影響が全体に及ぶとされ、自動化された攻撃の可能性も指摘されているため、早急なアップデートが推奨される。

認証バイパス脆弱性の詳細

CERT-Inのアドバイザリページはこちら

OTP検証について

OTP検証とは、ワンタイムパスワード（One-Time Password）を用いた認証プロセスのことを指しており、主な特徴として以下のような点が挙げられる。

• 使い捨てのパスワードによる二要素認証
• 時間制限付きの認証コード生成
• フィッシング攻撃やパスワードリスト攻撃への対策

OTP検証の実装において重要なのは、APIエンドポイントでの適切な認証処理と応答の保護である。AeroのOTP検証における脆弱性は、認証プロセス中の応答データが適切に保護されていなかったため、攻撃者による改ざんが可能となり、結果として他のユーザーアカウントへの不正アクセスを許してしまう状況を引き起こした。

AeroのOTP検証脆弱性に関する考察

AeroのOTP検証における脆弱性は、二要素認証システムの実装における重要な教訓を提供している。特にAPIエンドポイントの設計において、応答データの保護と検証プロセスの完全性確保が不可欠であることが浮き彫りとなった。セキュリティ対策としては、応答データの暗号化とデジタル署名の実装が有効だろう。

今後の課題として、認証プロセス全体を通じたセキュリティ監査の重要性が挙げられる。特にマイクロサービスアーキテクチャにおいては、各サービス間の通信セキュリティと認証状態の同期が重要となり、これらを統合的に管理する仕組みの構築が必要となるだろう。

API設計においては、セキュリティバイデザインの原則に従い、早期の段階から脆弱性対策を組み込むことが重要である。今後は機械学習を活用した異常検知システムの導入や、ゼロトラストアーキテクチャの採用により、より強固な認証基盤の構築が期待される。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-51561, (参照 24-11-08).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧