セキュリティに関する公開情報

2026 年 1 月より前の Log Analytics ユーザー インターフェース バージョンは、SQL クエリを自動的に実行するように構成できます。この脆弱性により、攻撃者はクエリ URL を作成できます。この URL を認証情報を持つユーザーが開くと、テーブルの内容にアクセスしたり、クエリ費用が発生したりする可能性があります。

必要な対策

ユーザーによる対応は必要ありません。この脆弱性は修正され、影響を受けるユーザー インターフェースは 2026 年 1 月に更新され、ユーザーが検査する機会がないまま悪意のある SQL が実行されるのを防ぐための介入ポイントが含まれるようになりました。

対処されている脆弱性

この脆弱性により、ターゲットが攻撃者が作成した SQL クエリを実行すると、攻撃者がターゲットのログ分析または BigQuery テーブルの限定されたコンテンツにアクセスできるようになる可能性があります。

この脆弱性は、BigQuery 監査ログを利用して、ターゲットのテーブルの内容に関する情報を攻撃者が制御する Google Cloud プロジェクトに伝達します。この脆弱性は、URL に埋め込まれたクエリを自動的に実行する Log Analytics インターフェースの動作によって悪化します。これにより、ターゲットは、認証情報を使用して実行する前に、攻撃者が作成したクエリを検査できなくなります。

この脆弱性は、2026 年 1 月より前の Log Analytics インターフェースと Cloud Monitoring ダッシュボード インターフェースのバージョンに影響します。

必要な対策

ユーザーによる対応は必要ありません。影響を受けるユーザー インターフェースは 2026 年 1 月に更新され、ユーザーが検査する機会がないまま悪意のある SQL が実行されるのを防ぐための介入ポイントが含まれるようになりました。

対処されている脆弱性

この脆弱性により、攻撃者は、ターゲットが攻撃者が作成したダッシュボードを表示したときに、ターゲットの Log Analytics または BigQuery テーブルの限定されたコンテンツにアクセスできます。

この脆弱性は、BigQuery メタデータ チャネルを利用して、ターゲットのテーブルの内容に関する情報を攻撃者が制御する Google Cloud プロジェクトに伝達します。この脆弱性は、SQL ベースのウィジェットにデータを入力するためにクエリを自動的に実行するダッシュボード インターフェースの動作によって悪化します。これにより、ターゲットは、認証情報を使用して実行する前に、攻撃者が作成したクエリを検査できません。