概要

サイバーセキュリティ研究者が、Google Looker Studioで9つのクロステナント脆弱性を発見しました。これらの脆弱性は、攻撃者が被害者のデータベースで任意のSQLクエリを実行し、組織のGoogle Cloud環境から機密データを漏洩させることを可能にします。

詳細

これらの脆弱性は、Tenableによって「LeakyLooker」という名称でまとめられました。これらの脆弱性が実際の攻撃で悪用されたという証拠はありませんが、2025年6月にGoogleに責任ある開示が行われ、Googleはこれらの問題を修正しました。

脆弱性のリスト

• クロステナントの無効なアクセス – データベースコネクタに対するゼロクリックSQLインジェクション
• クロステナントの無効なアクセス – ストレージ資格情報経由のゼロクリックSQLインジェクション
• BigQueryのネイティブ関数を介したクロステナントSQLインジェクション
• ハイパーリンクを介したクロステナントデータソースの漏洩
• カスタムクエリを介したSpannerとBigQueryのクロステナントSQLインジェクション
• リンクAPIを介したSpannerとBigQueryのクロステナントSQLインジェクション
• イメージレンダリングを介したクロステナントデータソースの漏洩
• フレームカウントとタイミングオラクルを介した任意のデータソースのクロステナントXS漏洩
• BigQueryを介したウォレットの拒否

影響

これらの脆弱性は、Google Cloud Platform (GCP) 環境全体で機密データを漏洩させ、Google Sheets、BigQuery、Spanner、PostgreSQL、MySQL、Cloud Storage、Looker Studioデータコネクタなど、組織が使用するすべてのサービスに影響を及ぼす可能性があります。

攻撃の可能性

これらの脆弱性は、攻撃者が被害者のデータセットとプロジェクト全体にアクセスする可能性を提供します。また、攻撃者は、共有されたレポートを悪用して、被害者のブラウザに悪意のあるコードを実行させ、攻撃者が制御するプロジェクトからデータベース全体を再構築することも可能です。

結論

これらの脆弱性は、Google Cloudサービスの「ビューア」がデータを制御できないという基本的な約束を破る可能性があります。これらの脆弱性は、攻撃者がBigQueryやGoogle SheetsなどのGoogleサービスでデータを漏洩または変更する可能性を提供します。

元記事: https://thehackernews.com/2026/03/new-leakylooker-flaws-in-google-looker.html