脆弱性
アクセス制御の不備
別称: BAC, 認可バイパス
定義
認可ルールが欠落または誤って適用され、ユーザーが本来の権限を超えた操作やデータにアクセスできてしまう脆弱性カテゴリ。
アクセス制御の不備は OWASP Top 10 で第 1 位のリスクです。アプリが「誰が何をできるか」を一貫して強制できないときに発生し、サーバー側チェックの欠如、隠された URL への依存(隠蔽によるセキュリティ)、クライアント側のロール情報の信頼、所有者検証なしのオブジェクト直接参照などが原因となります。IDOR、管理ページへの強制ブラウズ、パラメータ改ざんによる回避、JWT スコープの改ざんなどが典型です。影響は情報漏えいからアカウント/データの完全奪取まで及びます。対策には、集中化された認可ミドルウェア、デフォルト拒否、各操作のサーバー側強制、ユーザー/テナントでのクエリスコープ化、徹底した結合テスト、継続的 DAST が含まれます。
例
- 一般ユーザーがロール検査のない /api/admin/users を呼び、完全なリストを取得する。
- URL のドキュメント UUID を書き換えて、他顧客の請求書を閲覧する。
関連用語
安全でない直接オブジェクト参照 (IDOR)
アプリが内部オブジェクトへの参照を露出し、ユーザーがその参照を書き換えることで他人のデータにアクセスできてしまうアクセス制御の欠陥。
水平権限昇格
より高い権限を得るのではなく、同じ権限レベルの別ユーザーのリソースや操作にアクセスできてしまう欠陥。
垂直権限昇格
低権限ユーザーが、管理者・root・SYSTEM など、より高い権限を取得できる欠陥。
認証の不備
認証やセッション管理の欠陥により、攻撃者が正規ユーザーになりすましたり、アカウントを乗っ取れたりする脆弱性カテゴリ。
OWASP Top 10
OWASP Top 10 — definition coming soon.
最小権限の原則
ユーザー・プロセス・サービスに対し、その業務に厳密に必要な権限だけを付与し、それ以上は与えないというセキュリティ原則。