Source: https://thehackernews.com/2025/07/wiz-uncovers-critical-access-bypass.html
🛡 概要
Wizの研究者たちは、人気のあるAI搭載のコーディングプラットフォームBase44において、ユーザーが構築したプライベートアプリケーションへの不正アクセスを可能にする重大なセキュリティ脆弱性を発見した。この脆弱性は、未文書の登録およびメール確認エンドポイントに対して非機密のapp_id値を提供するだけで、攻撃者がプライベートアプリケーションのために確認済みのアカウントを作成できるというものであった。
この問題は、すべての認証制御、特にシングルサインオン(SSO)の保護をバイパスし、プライベートアプリケーションおよびそのデータに対する完全なアクセスを許可するという結果をもたらす。2025年7月9日に責任ある開示が行われた後、Base44を所有するWixは24時間以内に公式な修正を展開したが、この問題が悪用された証拠は存在しない。
🔍 技術詳細
Base44における脆弱性は、認証関連の2つのエンドポイントが無制限に公開されていたことに起因する。具体的には、api/apps/{app_id}/auth/registerとapi/apps/{app_id}/auth/verify-otpのエンドポイントが該当する。これらはそれぞれ、メールアドレスとパスワードを提供して新しいユーザーを登録したり、ワンタイムパスワード(OTP)を使ってユーザーを確認するために使用される。
app_idの値は秘密ではなく、アプリのURLやmanifest.jsonファイルのパスに表示されているため、攻撃者は特定のアプリケーションのapp_idを使用して新しいアカウントを登録し、OTPを用いてメールアドレスを確認することが可能であった。これにより、本来の所有者でないアプリケーションにアクセスできることが明らかになった。
⚠ 影響
この脆弱性の影響は広範囲に及ぶ。Base44上でホストされているプライベートアプリケーションは、認証なしにアクセス可能となり、機密データが漏洩する危険がある。特に、AIツールの普及に伴い、企業環境における新たな攻撃面が浮き彫りとなった。この脆弱性は、従来のセキュリティパラダイムでは十分に対処できない可能性がある。
さらに、AIシステムの急速な進化により、様々な新たな脅威が出現している。最近の研究では、大規模言語モデルや生成AIツールに対して、プロンプトインジェクション攻撃や不正なコマンド実行のリスクが指摘されており、これが企業データの安全性を脅かす要因となっている。
🛠 対策
Base44の脆弱性に対する最も効果的な対策は、すべての認証エンドポイントに対して適切なアクセス制御を実装することである。具体的には、app_idの値を秘密にするだけでなく、ユーザー登録やOTP確認を行う際に追加の認証手段を要求することが必要である。また、定期的なセキュリティ監査や脆弱性診断を実施し、新たな脅威に対する防御を強化することも重要である。
さらに、AIシステムの開発においては、セキュリティを後付けではなく、基盤から組み込むことが求められる。これにより、AIツールが持つ変革の可能性を最大限に引き出し、企業データを保護することが可能となるだろう。
