セキュリティに関する公開情報

2026 年 1 月より前のバージョンの Observability Analytics ユーザー インターフェースは、SQL クエリを自動的に実行するように構成できます。この脆弱性 により、攻撃者はクエリ URL を作成できます。認証情報を持つユーザーがこの URL を開くと、テーブルの内容にアクセスしたり、クエリ費用が発生したりする可能性があります。

必要な対策

ユーザーによるアクションは必要ありません。この脆弱性は修正され、 影響を受けるユーザー インターフェースは 2026 年 1 月に更新され、 ユーザーが検査する機会がないまま悪意のある SQL が実行されるのを防ぐための 介入ポイントが追加されました。

対処されている脆弱性

この脆弱性により、攻撃者は、ターゲットが攻撃者によって作成された SQL クエリを実行したときに、ターゲットの Observability Analytics テーブルまたは BigQuery テーブルの限定されたコンテンツにアクセスできます。

この脆弱性は、BigQuery 監査ログを利用して、ターゲットのテーブルの内容に関する情報を攻撃者が管理する Google Cloud プロジェクトに伝達します。この脆弱性は、URL に埋め込まれたクエリを自動的に実行する Observability Analytics インターフェースの動作によって悪化します。これにより、ターゲットは認証情報を使用して実行する前に、 攻撃者が作成したクエリを検査できなくなります。

この脆弱性は、2026 年 1 月より前のバージョンの Observability Analytics インターフェースと Cloud Monitoring ダッシュボード インターフェースに影響します。

必要な対策

ユーザーによるアクションは必要ありません。影響を受けるユーザー インターフェースは 2026 年 1 月に更新され、ユーザーが検査する機会がないまま悪意のある SQL が実行されるのを防ぐための介入ポイントが追加されました。

対処されている脆弱性

この脆弱性により、攻撃者は、ターゲットが攻撃者によって作成されたダッシュボードを表示したときに、ターゲットの Observability Analytics テーブルまたは BigQuery テーブルの限定されたコンテンツにアクセスできます。

この脆弱性は、BigQuery メタデータ チャネルを利用して、ターゲットのテーブルの内容に関する情報を攻撃者が管理する Google Cloud プロジェクトに伝達します。この脆弱性は、SQL ベースのウィジェットにデータを入力するためにクエリを自動的に実行するダッシュボード インターフェースの動作によって悪化します。これにより、ターゲットは認証情報を使用して実行する前に、攻撃者が作成したクエリを検査できなくなります。