Microsoft Bing の欠陥により検索結果が変わる可能性がある

Bing の検索結果に重大なセキュリティ上の欠陥が見つかりました。幸いなことに、害よりも恐怖の方が大きかったです。

最近、重大なセキュリティ脆弱性が発見されました。これにより、専門家は Bing の検索結果を意図的に変更できるようになります。 この脆弱性はサイバーセキュリティ企業 Wiz によって昨年 1 月に発見され、すぐに Microsoft Security Response Center (MSRC) に報告されました。

Bing の検索結果に重大なセキュリティ脆弱性が見つかる

Wiz 研究者のヒレイ・ベン・サッソン氏は Twitter での会話の中で、Bing のコンテンツ管理システム (CMS) をハッキングする方法を説明しました。Microsoft Azure クラウド プラットフォームに接続することで、すべてのユーザーがレドモンドから社内アプリケーションにアクセスできることがわかりました。次に、Bing 検索結果データベースにアクセスしました。そこから、Hillay Ben-Sasson は、結果に表示される内容を希望どおりに変更する方法を見つけました。

Wiz の研究者らはまた、Bing がクロスサイト スクリプティング (XSS) 攻撃に対して脆弱であることを発見し、Outlook メールを含む Office 365 の機密データに予定表からアクセスしたり、Teams からのメッセージを入手したりできることを発見しました。MSRC は、関連するセキュリティ更新プログラムについて詳しく説明し、Azure 開発者と管理者向けのベスト プラクティスをブログ投稿で共有しました。

幸いなことに、害よりも恐怖の方が大きい

これらの研究者らの実験の目的は、これが可能であることを示し、それをマイクロソフトと共有することでした。しかし、これはハッカーがどのように Bing に損害を与える可能性があるかも示しています。「同じアクセス権を持つ攻撃者が、同じ手順を使用して最も人気のある検索結果をハイジャックし、それによって数百万のユーザーのデータが漏洩した可能性がある」と Wiz のブログ投稿には記載されています。

幸いなことに、被害よりも恐怖のほうが強く、大きな被害は出ていないようです。Microsoft は、この脆弱性が週末にパッチされたことを確認しました。そして同時に、Wiz はバグを報告したことで、バグ発見報奨金プログラムから 40,000 ドルの報奨金を受け取りました。同社は、それを任意の団体に寄付すると発表した。

@Bing CMSをハッキングしたことで、検索結果を変更し、何百万もの@Office365アカウントを乗っ取ることができました。 どうやってやったの？そう、すべては@Azureでの簡単なクリックから始まりました… ?これは#BingBangの物語です?⬇️ pic.twitter.com/9pydWvHhJs

— ヒライ・ベン・サッソン (@hillai) 2023 年 3 月 29 日