お客様は、取り込みフィードを使用して、お客様所有の Cloud Storage バケットからデータを取り込むように Google SecOps を構成できます。Google SecOps では最近まで共有サービス アカウントを提供しており、お客様がバケットへのアクセス権を付与する用途に使われていました。ひとつのお客様の Google SecOps インスタンスが、別のお客様の Cloud Storage バケットからデータを取り込むように構成できてしまうという可能性が存在していました。影響分析を実行したところ、この脆弱性は過去にも現在にも悪用されていることが確認されていません。この脆弱性は、2023 年 9 月 19 日より前の Google SecOps のすべてのバージョンに存在していました。

必要な対策

2023 年 9 月 19 日時点で、Google SecOps はこの脆弱性に対処するように更新されています。お客様による対応は必要ありません。

対処されている脆弱性

Google SecOps では以前は共有サービス アカウントを提供しており、お客様がバケットへのアクセス権を付与する用途に使われていました。複数のお客様が、同一の Google SecOps サービス アカウントへのアクセス権を各自のバケットに付与していたため、フィードが作成または変更されたときに、ひとつのお客様のフィードが別のお客様のバケットにアクセスできるという悪用ベクトルが存在していました。この悪用ベクトルには、バケット URI に関する知識が必要でした。現在、フィードの作成時または変更時には、Google SecOps はお客様ごとに一意のサービス アカウントを使用します。