OpenID Connectにおけるテストシナリオをプログラム記述可能なテストツールの提案

湯浅 潤樹; 笹田 大翔; 妙中 雄三; 門林 雄基

講演名	2023-11-17 OpenID Connectにおけるテストシナリオをプログラム記述可能なテストツールの提案湯浅潤樹(奈良先端大), 笹田大翔(奈良先端大), 妙中雄三(奈良先端大), 門林雄基(奈良先端大),
PDFダウンロードページ	PDFダウンロードページへ
抄録(和)	シングルサインオン(SSO)は一度のユーザ認証により複数の web サービスへのログインを可能とする仕組みであり, これによりユーザのアカウント管理負担を軽減できる. しかし, 最も広く使用されているSSOプロトコルであるOpenID Connect (OIDC)においては, OIDC の仕様から乖離した実装による脆弱性だけではなく, 仕様で定義されていない部分が原因で脆弱性が生じ, 脆弱性管理を難しくしている. こうした実装上の脆弱性を発見するために, 既存研究ではシナリオベースのテストツールが複数提案されている. しかし, 既存のテストツールはシナリオのカスタマイズ性が乏しく, 仕様違反によって生じる脆弱性しか検出できないという課題が存在した. 具体的には, 仕様で明示されていない独自拡張やセッション管理などの実装方法, 使用するソフトウェアに固有の実装上の脆弱性を検証できない. 現実ではこのような実装上の脆弱性が多数発見されているため, OIDC テストツールにおいても, 以上で述べたような実装に起因する脆弱性を検出できる必要がある. そこで本研究では, カスタマイズ可能なテストシナリオ作成のために, テストシナリオをプログラムで記述可能にすることで, 実装に起因する脆弱性の検出を可能とする OIDC テストツールを提案する.
抄録(英)	Single sign-on (SSO) is a mechanism that allows users to log in to multiple web services with single-user authentication, thereby reducing the burden of account management. However, in OpenID Connect (OIDC), the most widely used SSO protocol, vulnerabilities are not only caused by implementations that deviate from the OIDC specification but also by parts not defined in the specification, making vulnerability management difficult. In order to find such implementation vulnerabilities, several scenario-based testing tools have been proposed in existing studies. However, existing scenario-based testing tools lack customizability of scenarios and can only detect vulnerabilities caused by specification violations. Specifically, they are unable to verify implementation vulnerabilities that are not specified in the specifications, such as proprietary extensions, session management, and other implementation methods, and implementation vulnerabilities that are specific to the software being used. Since many such implementation vulnerabilities have been found in reality, it is necessary for OIDC testing tools to be able to detect such implementation vulnerabilities as described above. Therefore, in this study, we propose an OIDC testing tool that can detect implementation-related vulnerabilities by allowing test scenarios to be written programmatically in order to create customizable test scenarios.
キーワード(和)	脆弱性検査 / シングルサインオン / OpenID Connect
キーワード(英)	Vulnerability Testing / Single Sign-On / OpenID Connect
資料番号	ICSS2023-66
発行日	2023-11-09 (ICSS)

研究会情報
研究会	ICSS
開催期間	2023/11/16(から2日開催)
開催地（和）	ITビジネスプラザ武蔵(金沢) + オンライン開催
開催地（英）	IT Business Plaza Musashi and Online
テーマ（和）	セキュリティ、一般
テーマ（英）	Security, etc.
委員長氏名（和）	井上大介(NICT)
委員長氏名（英）	Daisuke Inoue(NICT)
副委員長氏名（和）	山田明(神戸大) / 山内利宏(岡山大)
副委員長氏名（英）	Akira Yamada(Kobe Univ.) / Toshihiro Yamauchi(Okayama Univ.)
幹事氏名（和）	木藤圭亮(三菱電機) / 菅原健(電通大)
幹事氏名（英）	Keisuke Kito(Mitsubishi Electric) / Takeshi Sugawara(Univ. of Electro-Comm.)
幹事補佐氏名（和）	鐘本楊(NTT) / 佐藤将也(岡山県立大)
幹事補佐氏名（英）	Yo Kanemoto(NTT) / Masaya Sato(Okayama Prefectural Univ.)

講演論文情報詳細
申込み研究会	Technical Committee on Information and Communication System Security
本文の言語	JPN
タイトル（和）	OpenID Connectにおけるテストシナリオをプログラム記述可能なテストツールの提案
サブタイトル（和）
タイトル（英）	Proposal for a Test Tool Enabling Programmatic Description of Test Scenarios in OpenID Connect
サブタイトル（和）
キーワード(1)（和/英）	脆弱性検査 / Vulnerability Testing
キーワード(2)（和/英）	シングルサインオン / Single Sign-On
キーワード(3)（和/英）	OpenID Connect / OpenID Connect
第 1 著者氏名（和/英）	湯浅潤樹 / Junki Yuasa
第 1 著者所属（和/英）	奈良先端科学技術大学院大学(略称：奈良先端大) Nara Institute of Science and Technology(略称：NAIST)
第 2 著者氏名（和/英）	笹田大翔 / Taisho Sasada
第 2 著者所属（和/英）	奈良先端科学技術大学院大学(略称：奈良先端大) Nara Institute of Science and Technology(略称：NAIST)
第 3 著者氏名（和/英）	妙中雄三 / Yuzo Taenaka
第 3 著者所属（和/英）	奈良先端科学技術大学院大学(略称：奈良先端大) Nara Institute of Science and Technology(略称：NAIST)
第 4 著者氏名（和/英）	門林雄基 / Youki Kadobayashi
第 4 著者所属（和/英）	奈良先端科学技術大学院大学(略称：奈良先端大) Nara Institute of Science and Technology(略称：NAIST)
発表年月日	2023-11-17
資料番号	ICSS2023-66
巻番号（vol）	vol.123
号番号（no）	ICSS-269
ページ範囲	pp.108-113(ICSS),
ページ数	6
発行日	2023-11-09 (ICSS)