OAuth でログインすると、アプリにパスワードが渡されますか？

いいえ、OAuth の最大の利点は、パスワードをアプリに渡さないことです。アプリが受け取るのはアクセストークンという一時的な鍵であり、あなたのパスワードそのものではありません。ただし、アクセストークンがあれば、付与された権限の範囲内であなたのデータにアクセスできるため、どの権限を許可するかは慎重に判断する必要があります。

一度許可した OAuth 権限は取り消せますか？

はい、いつでも取り消せます。Google は myaccount.google.com の「セキュリティ」→「サードパーティのアプリとサービス」、Facebook は設定の「アプリとウェブサイト」、X は設定の「連携しているアプリ」から管理できます。取り消すと、そのアプリのアクセストークンは即座に無効化され、以降のデータアクセスはブロックされます。3 か月に 1 回の定期的な棚卸しを推奨します。

OAuth 認可の落とし穴 - 「ログインを許可」の裏で起きていること

この記事は約 13 分で読めます

「Google でログイン」「Facebook で続行」をクリックするたびに、あなたはアプリケーションに個人データへのアクセス権を付与しています - しかもその範囲は、多くの場合あなたが想像する以上に広いのです。OAuth 2.0 は、パスワードを共有せずに限定的なアクセスを委任するために設計されたプロトコルです。しかし実際には、連絡先の全件読み取りやメール送信権限など、過剰な権限を要求するアプリケーションが後を絶ちません。さらに深刻なのは、攻撃者が正規の OAuth 認可画面そのものを武器化していることです。Proofpoint の 2024 年調査では OAuth フィッシング攻撃が前年比 40% 増加し、Microsoft は OAuth ベースの攻撃が Microsoft 365 への企業侵害の 22% を占めると報告しています。本記事では、OAuth 認可フローの仕組み、本当の危険がどこに潜んでいるのか、そして具体的にどう身を守るべきかを徹底的に解説します。

OAuth 2.0 の仕組み - 認可フローの基本構造

OAuth 2.0 を理解するには、まず「認証」と「認可」の違いを明確にする必要があります。認証 (Authentication) は「あなたは誰か」を確認するプロセスであり、認可 (Authorization) は「あなたに何を許可するか」を決定するプロセスです。OAuth 2.0 は認可のプロトコルであり、認証そのものは扱いません (認証を追加したのが OpenID Connect です)。つまり、「Google でログイン」ボタンは厳密には「Google にあなたの情報へのアクセスを認可する」ボタンなのです。

Authorization Code Flow - 最も安全な標準フロー

Authorization Code Flow は、サーバーサイドアプリケーション向けの最も安全なフローです。ユーザーが認可サーバー (Google や Facebook) でログインし権限を承認すると、認可サーバーはアプリケーションに「認可コード」を返します。アプリケーションはこの認可コードをサーバー間通信で「アクセストークン」に交換します。重要なのは、アクセストークンがブラウザに直接露出しない点です。認可コードは一度しか使えず、有効期限も数分と短いため、傍受されてもリスクは限定的です。さらに PKCE (Proof Key for Code Exchange) を組み合わせることで、認可コードの横取り攻撃も防止できます。

Implicit Flow - なぜ非推奨になったのか

Implicit Flow は、かつてブラウザベースの SPA (Single Page Application) 向けに設計されたフローです。認可コードを経由せず、認可サーバーがアクセストークンを URL フラグメント (#access_token=...) として直接ブラウザに返します。この設計には致命的な問題があります。アクセストークンがブラウザの履歴、リファラーヘッダー、ブラウザ拡張機能から漏洩するリスクが常に存在するのです。OAuth 2.1 のドラフト仕様では Implicit Flow は正式に非推奨となり、SPA でも Authorization Code Flow + PKCE の使用が推奨されています。にもかかわらず、レガシーなアプリケーションの中には依然として Implicit Flow を使用しているものがあり、これがトークン漏洩の温床になっています。

「ログインを許可」の裏側 - 過剰な権限要求の実態

OAuth の認可画面には「スコープ」と呼ばれる権限の一覧が表示されます。問題は、多くのユーザーがこの画面を読まずに「許可」をクリックしていることです。Google の内部調査 (2023 年公開) によると、OAuth 認可画面でスコープの詳細を確認するユーザーはわずか 12% でした。残りの 88% は、表示された権限を確認せずに承認しています。

過剰な権限要求の典型例を見てみましょう。単純なカレンダー連携アプリが「連絡先の読み取り」「メールの送信」「ドライブのファイル一覧」まで要求するケースがあります。アプリの機能にはカレンダーの読み取りだけで十分なのに、開発者がデータ収集目的で不要なスコープを追加しているのです。2024 年の Astrix Security の分析では、Google Workspace に接続されたサードパーティアプリの 35% が、実際の機能に不要な権限を要求していました。特に危険なのは「メールの送信」権限です。この権限を持つアプリが侵害されると、攻撃者はあなたのメールアドレスからフィッシングメールを送信できます。受信者にとっては正規のメールアドレスからの送信に見えるため、通常のフィッシングよりはるかに成功率が高くなります。

OAuth フィッシング攻撃 - 正規の認可画面が武器になるとき

従来のフィッシングは偽のログインページを作成して認証情報を盗みます。OAuth フィッシングはそれよりはるかに巧妙です。Google、Microsoft、Facebook の本物の認可画面を利用するのです。攻撃者は正規に見える名前 (「セキュリティ更新ツール」「Document Viewer Pro」など) で悪意のあるアプリケーションを登録し、被害者に本物の OAuth 認可ページへのリンクを送ります。 URL は accounts.google.com や login.microsoftonline.com - 実際の認証サーバー - を指しているため、セキュリティ意識の高いユーザーでも疑わない可能性があります。被害者が「許可」をクリックすると、攻撃者は悪意のあるアプリが要求した権限を持つアクセストークンを受け取ります。パスワードは盗まれず、フィッシングページも関与せず、フロー全体が正規のインフラを使用しているため、従来のフィッシング対策ツールでは検出できません。

OAuth フィッシングが特に危険な理由は、多要素認証 (MFA) を完全にバイパスする点です。通常のフィッシングでは、パスワードを盗んでも MFA が壁になります。しかし OAuth フィッシングでは、被害者自身が正規の認証フローを完了し、MFA も通過した上でアクセスを許可するため、MFA は何の防御にもなりません。Proofpoint の 2024 年レポートでは、OAuth フィッシングの成功率は従来型フィッシングの 3 倍以上と報告されています。

トークン漏洩のリスク - アクセストークンが第三者に渡ると何が起きるか

アクセストークンは「デジタルな合鍵」です。パスワードとは異なり、トークンを持っている者は誰でも、そのトークンに紐づいた権限を行使できます。トークンが漏洩する経路は複数あります。Implicit Flow を使用しているアプリではブラウザ履歴やリファラーヘッダーから漏洩します。モバイルアプリではデバイスのログファイルやクリップボードから漏洩する可能性があります。サードパーティの JavaScript ライブラリが悪意を持ってトークンを外部に送信するケースも報告されています。

トークン漏洩の影響は、付与されたスコープによって異なります。メールの読み取り専用アクセスを持つトークンでは、攻撃者はすべてのメールを読むことができ、パスワードリセットリンク、財務諸表、プライベートな通信が露出する可能性があります。Drive アクセスを持つトークンでは、攻撃者はすべてのドキュメントをダウンロードできます。連絡先アクセスを持つトークンでは、あなたの人脈全体がさらなるソーシャルエンジニアリング攻撃に利用されます。盗まれたパスワードとは異なり、漏洩したトークンはパスワードを変更しても無効化できません。トークンは有効期限が切れるか明示的に取り消されるまで有効です。だからこそ、連携アプリの定期的な監査がデジタルアイデンティティの保護に不可欠なのです。

権限の棚卸し - 今すぐ確認すべき連携アプリ管理画面

OAuth で付与した権限は、各プラットフォームの管理画面から確認・取り消しできます。以下の手順で、不要な連携アプリを今すぐ整理しましょう。

Google: myaccount.google.com → 「セキュリティ」→「サードパーティのアプリとサービス」。各アプリに付与されたスコープを確認し、使っていないアプリや過剰な権限を持つアプリのアクセスを削除します。特に「メールの送信」「連絡先の編集」「ドライブの全ファイルへのアクセス」を持つアプリは要注意です。
Facebook: 設定 →「アプリとウェブサイト」。アクティブなアプリ一覧から、各アプリに付与した権限を確認します。「友達リスト」「投稿の公開」「メッセージの読み取り」などの権限を持つアプリは、本当に必要か再評価してください。
X (旧 Twitter): 設定 →「セキュリティとアカウントアクセス」→「アプリとセッション」→「連携しているアプリ」。読み取り専用か読み書き可能かを確認し、書き込み権限を持つ不要なアプリを取り消します。
Microsoft: account.microsoft.com →「プライバシー」→「アプリとサービス」。Microsoft 365 に接続されたアプリを確認し、組織のデータにアクセスできるアプリを重点的にレビューします。

この棚卸しは一度やって終わりではなく、3 か月に 1 回の定期的な実施を推奨します。OAuth セキュリティの関連書籍 (Amazon)も参考になります。

OAuth リスクから身を守る具体的な対策

OAuth のリスクを理解した上で、以下の対策を実践しましょう。技術的な知識がなくても、今日から始められるものばかりです。

「許可」をクリックする前に認可画面を注意深く読む。具体的にどのような権限が要求されているかを確認します。単純なアプリがメール送信や連絡先編集の権限を求めている場合は拒否し、代替を探しましょう。プライバシー設定の保護はこの習慣から始まります
3 か月に 1 回、上記の管理画面で連携アプリを棚卸しする。使っていないアプリのアクセスを取り消し、残すアプリも権限が最小限かを確認する
メールやメッセージアプリ経由で届く OAuth 認可リクエストを疑う。正規のサービスが認可画面への直接リンクを送ることは稀です。受け取った場合は、リンクをクリックせずブラウザから直接サービスにアクセスしましょう。これはソーシャルエンジニアリングに対する重要な防御です
専用のパスワードマネージャーを使用し、すべてのアカウントで二要素認証を有効にする。OAuth トークンが漏洩しても、強固なアカウントセキュリティが被害範囲を限定します
利用可能な場合はパスキーの使用を検討する。パスキーはパスワード層を完全に排除し、OAuth フィッシングが悪用する攻撃面を縮小します

よくある質問

OAuth でログインすると、アプリにパスワードが渡されますか？: いいえ、OAuth の最大の利点は、パスワードをアプリに渡さないことです。アプリが受け取るのはアクセストークンという一時的な鍵であり、あなたのパスワードそのものではありません。ただし、アクセストークンがあれば、付与された権限の範囲内であなたのデータにアクセスできるため、どの権限を許可するかは慎重に判断する必要があります。
OAuth フィッシングは多要素認証で防げますか？: 残念ながら、OAuth フィッシングは多要素認証 (MFA) を完全にバイパスします。通常のフィッシングではパスワードを盗んでも MFA が壁になりますが、OAuth フィッシングでは被害者自身が正規の認証フローを完了し MFA も通過した上でアクセスを許可するため、MFA は防御になりません。対策としては、認可画面の権限を注意深く確認すること、メール経由の OAuth リンクを疑うこと、定期的に連携アプリを棚卸しすることが重要です。
一度許可した OAuth 権限は取り消せますか？: はい、いつでも取り消せます。Google は myaccount.google.com の「セキュリティ」→「サードパーティのアプリとサービス」、Facebook は設定の「アプリとウェブサイト」、X は設定の「連携しているアプリ」から管理できます。取り消すと、そのアプリのアクセストークンは即座に無効化され、以降のデータアクセスはブロックされます。3 か月に 1 回の定期的な棚卸しを推奨します。

パスワードを生成する →