@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00201406,
 author = {菊田, 翼 and 齋藤, 孝道 and 小芝, 力太 and Tsubasa, Kikuta and Takamichi, Saito and Rikita, Koshiba},
 book = {コンピュータセキュリティシンポジウム2019論文集},
 month = {Oct},
 note = {Webサイトを利用する際の認証において，ソーシャルメディアのアカウントを利用するソーシャルログインと呼ばれる仕組みがある．ソーシャルログインはOAuthやOpenIDConnectにより実装されることがある．しかし，Webサイト作成側での実装によっては，プライバシー上の問題を引き起こすことや攻撃に対し脆弱となることが知られている．本論文では，Webサイトのログインページの認証フローを辿ることで，そのサイトにおけるソーシャルログインの実装状況を調査した．その結果，SNSからのアクセス権限を必要以上に取得しているWebサイト，実装上の欠陥により脆弱性が残っている可能性を持つWebサイトが500サイト中28サイトで確認された．, When a website authenticates the users, it is applied to so-called social login in EC site. The social login is known to use a social media account, such as Facebook, Google, and Twitter. In the case, a website is applied to the use of OAuth and OpenIDConnect. However, the implementation of the website may be caused privacy concerns or be vulnerable to attacks. In this paper, by crawling the login pages of 500 Japanese EC sites and tracing the authentication flows, we investigated the implementation status of social login and their security against CSRF. As a result, we observed 28 websites that acquired users permissions from SNS more than necessary, and some sites were vulnerable due to improper implementation.},
 pages = {800--807},
 publisher = {情報処理学会},
 title = {OAuth/OpenIDConnect実装におけるセキュリティ状況の調査},
 volume = {2019},
 year = {2019}
}