C
月内に
サウジアラビアのレンタカー大手Budget Saudiで、モバイルアプリへの不正アクセスによるデータ漏洩が発生しました
📌 一言でいうと
サウジアラビアのレンタカー大手Budget Saudiで、モバイルアプリへの不正アクセスによるデータ漏洩が発生しました。中東のセキュリティ業者iConnect ITBSは、APIの権限管理不足や多要素認証(MFA)の強制適用がないことが攻撃を容易にしたと指摘しています。また、APIゲートウェイのログ監視不足が検知の遅れにつながった可能性が示唆されています。
🔍該当判定
- 自社で顧客向けにスマートフォンアプリ(iOS/Android)を開発・提供している
- アプリからAPI経由で、顧客の個人情報や注文履歴などのデータベースに直接アクセスさせている
- アプリのログインにおいて、二要素認証(SMS認証やアプリ認証など)を「任意」にしており、パスワードのみでログイン可能である
- APIの設計において、ID番号(注文番号など)を書き換えることで他人のデータが閲覧できる状態にある
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. モバイルアプリにおける多要素認証 (MFA) の強制適用。
2. APIエンドポイントにおける厳格な権限管理と最小開示原則の適用(列挙攻撃の防止)。
3. SIEM/SOCにおけるAPIゲートウェイログの収集と監視体制の構築。