Google Looker Studioで「LeakyLooker」脆弱性が発見、クロステナントSQLクエリを許可

概要

サイバーセキュリティ研究者が、Google Looker Studioで9つのクロステナント脆弱性を発見しました。これらの脆弱性は、攻撃者が被害者のデータベースで任意のSQLクエリを実行し、組織のGoogle Cloud環境から機密データを漏洩させることを可能にします。

詳細

これらの脆弱性は、Tenableによって「LeakyLooker」という名称でまとめられました。これらの脆弱性が実際の攻撃で悪用されたという証拠はありませんが、2025年6月にGoogleに責任ある開示が行われ、Googleはこれらの問題を修正しました。

脆弱性のリスト

クロステナントの無効なアクセス – データベースコネクタに対するゼロクリックSQLインジェクション
クロステナントの無効なアクセス – ストレージ資格情報経由のゼロクリックSQLインジェクション
BigQueryのネイティブ関数を介したクロステナントSQLインジェクション
ハイパーリンクを介したクロステナントデータソースの漏洩
カスタムクエリを介したSpannerとBigQueryのクロステナントSQLインジェクション
リンクAPIを介したSpannerとBigQueryのクロステナントSQLインジェクション
イメージレンダリングを介したクロステナントデータソースの漏洩
フレームカウントとタイミングオラクルを介した任意のデータソースのクロステナントXS漏洩
BigQueryを介したウォレットの拒否

影響

これらの脆弱性は、Google Cloud Platform (GCP) 環境全体で機密データを漏洩させ、Google Sheets、BigQuery、Spanner、PostgreSQL、MySQL、Cloud Storage、Looker Studioデータコネクタなど、組織が使用するすべてのサービスに影響を及ぼす可能性があります。

攻撃の可能性

これらの脆弱性は、攻撃者が被害者のデータセットとプロジェクト全体にアクセスする可能性を提供します。また、攻撃者は、共有されたレポートを悪用して、被害者のブラウザに悪意のあるコードを実行させ、攻撃者が制御するプロジェクトからデータベース全体を再構築することも可能です。

結論

これらの脆弱性は、Google Cloudサービスの「ビューア」がデータを制御できないという基本的な約束を破る可能性があります。これらの脆弱性は、攻撃者がBigQueryやGoogle SheetsなどのGoogleサービスでデータを漏洩または変更する可能性を提供します。

元記事: https://thehackernews.com/2026/03/new-leakylooker-flaws-in-google-looker.html

サイバーニュース.jp

Google Looker Studioで「LeakyLooker」脆弱性が発見、クロステナントSQLクエリを許可

概要

詳細

脆弱性のリスト

影響

攻撃の可能性

結論

投稿をさらに読み込む

Google、インドでGeminiをChromeに統合

Google、ユーザーからの苦情を受け、Google PhotosのAI検索を無効にする機能を追加

Meta、AIエージェントのソーシャルネットワークMoltbookを買収

AI can rewrite open source code—but can it rewrite the license, too?