2022年10月に開催されたコンピュータセキュリティシンポジウム(CSS)2022において、弊社取締役CPOの坂本一仁が、SaaSタグのセキュリティに関する論文を発表し、CSS2022最優秀論文賞を受賞しました。
調査の発端として、2022年5月にVisionalistという終了したSaaSサービスのタグで利用していたドメイン (tracer[.]jp) が第三者に渡り、セキュリティ上の懸念が発生しました。
(Visionalistの事象の際には、弊社坂本も関係各所と連携しセキュリティ対応に協力しました。)
本論文は、Visionalistのような事象がどの程度起こり得るかという観点から、2つの大規模な調査を行ったものです。
- 終了したSaaSタグで利用しているドメインのライフサイクル調査
- 終了したSaaSタグの放置状態を検出するクローリング調査
実際には、49の終了したSaaSのタグで利用されていた53ドメインの行く末を様々なウェブツールを利用して調査し、国内事業者の約115万ウェブサイトにそれらが放置されていないかどうかを弊社プロダクト (webtru)でクローリング調査した結果、26の死んだSaaSのタグが約18,000ウェブサイトで発見されました。
主要な結果のサマリーは下記の通りです。
- 18ドメインが第三者に取得済みまたは取得可能な状態を観測
- 7ドメインがタグとして実サイトに存在することを観測
- 3ドメインで悪質な挙動を観測
本論文の結果は、今後も終了したSaaSのタグに関するセキュリティ上の懸念が継続的に発生することを予想するものです。セキュリティ対応のためには、SaaS事業者の適切なドメイン管理と、ウェブサイト管理者のタグ管理の徹底が求められます。
弊社DataSignでは、法人向けプライバシーテック・スイート webtru で、ウェブサイトやアプリで利用されている外部サービスの管理ソリューションを提供し、事態の改善に今後とも努めてまいります。
論文情報
タグ・オブ・ザ・デッド: 死んだSaaSのタグがゾンビになるとき
坂本 一仁、室園 拓也
2022年10月24日から27日(熊本城ホールとオンラインのハイブリッド開催)
※ ここに掲載した著作物の利用に関する注意
本著作物の著作権は情報処理学会に帰属します。本著作物は著作権者である情報処理学会の許可のもとに掲載するものです。ご利用に当たっては「著作権法」ならびに「情報処理学会倫理綱領」に従うことをお願いいたします。