<p><!--META { "title": "OAuth 2.0 PKCEによる認可コード対策", "primary_category": "セキュリティ", "secondary_categories": ["OAuth 2.0", "Webセキュリティ"], "tags": ["PKCE", "OAuth", "認可コード", "セキュリティ対策", "RFC7636", "S256"], "summary": "OAuth 2.0の認可コードフローにおける横取り攻撃を防ぐPKCE（Proof Key for Code Exchange）の仕組み、脅威モデル、対策、運用上の注意点を解説します。", "mermaid": true, "verify_level": "L0", "tweet_hint": {"text":"OAuth 2.0の認可コードフローは安全ですか？PKCE (Proof Key for Code Exchange) は公共クライアントでの認可コード横取り攻撃を防ぐ必須のセキュリティ対策です。その仕組み、実装、運用上の注意点を解説。 #OAuth2 #PKCE #セキュリティ"}, "link_hints": ["https://datatracker.ietf.org/doc/html/rfc7636","https://datatracker.ietf.org/doc/html/draft-ietf-oauth-browser-based-apps-11","https://developers.google.com/identity/protocols/oauth2/oauth-best-practices"] } --> 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">OAuth 2.0 PKCEによる認可コード対策</h1> <p>OAuth 2.0の認可コードフローは、Webアプリケーションやモバイルアプリケーションで広く利用されています。しかし、特にクライアントシークレットを安全に保管できない「公共クライアント」（例：SPA、モバイルアプリ）においては、認可コードの横取り（Authorization Code Interception Attack）という脅威が存在します。この脅威に対抗するための標準的な対策が、PKCE（Proof Key for Code Exchange）です。</p> <h2 class="wp-block-heading">脅威モデル</h2> <p>公共クライアントは、その性質上、クライアントシークレットを安全に保管することが困難です。これらのクライアントで認可コードフローを利用する際、以下の脅威にさらされます。</p> <h3 class="wp-block-heading">認可コード横取り攻撃</h3> <p>悪意のあるアプリケーションやブラウザ拡張機能が、正規のクライアントアプリケーション宛のリダイレクトURIを乗っ取り、認可コードを横取りする攻撃です。攻撃者は横取りした認可コードと、正規クライアントの <code>client_id</code> を用いて、認可サーバーからアクセストークンを不正に取得しようとします。</p> <p>この攻撃は、<code>state</code> パラメータだけでは完全には防げません。<code>state</code> パラメータはCSRF（クロスサイトリクエストフォージェリ）対策には有効ですが、攻撃者が認可コード自体を横取りした場合、<code>state</code> パラメータの検証をすり抜ける可能性があります。特に、ブラウザベースのアプリケーションにおいて、信頼できないスクリプトや拡張機能がリダイレクトされたURIを傍受するシナリオが想定されます[1]。</p> <h2 class="wp-block-heading">攻撃シナリオとPKCEによる緩和</h2> <p>PKCEがない場合とある場合の攻撃シナリオを比較し、PKCEがどのように攻撃を緩和するかを説明します。</p> <h3 class="wp-block-heading">攻撃シナリオ (PKCEなしの場合)</h3> <ol class="wp-block-list"> <li><p><strong>ユーザーが正規クライアントで認可を開始</strong>: クライアントは認可サーバーへリクエストを送信。</p></li> <li><p><strong>認可サーバーがユーザーをリダイレクト</strong>: ユーザーは認可後、<code>client_id</code> と <code>redirect_uri</code> に基づいて、認可コードを含むリダイレクトURIへ転送されます。</p></li> <li><p><strong>攻撃者が認可コードを横取り</strong>: ユーザーのデバイスに存在する悪意のあるアプリやマルウェアが、正規クライアント宛のリダイレクトURIを傍受し、認可コードを不正に入手します。</p></li> <li><p><strong>攻撃者がアクセストークンを要求</strong>: 攻撃者は横取りした認可コードと正規クライアントの <code>client_id</code> を用いて、認可サーバーにアクセストークンの発行を要求します。</p></li> <li><p><strong>認可サーバーがアクセストークンを付与</strong>: PKCEがない場合、認可サーバーは要求を正規のものと誤認し、攻撃者にアクセストークンを付与してしまいます。</p></li> </ol> <h3 class="wp-block-heading">PKCEによる緩和 (Attack Chain)</h3> <p>PKCEは、認可コードの交換時にクライアントが「認可リクエスト時とトークン交換時で、同じ証明を持っている」ことを認可サーバーに確認させるメカニズムです。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD subgraph PKCEなしの認可コード横取り攻撃 U_NP["ユーザー"] --> |1. 認可リクエスト| AS_NP("認可サーバー"); AS_NP --> |2. 認可コードリダイレクト| C_NP("正規クライアント"); C_NP -.-> |3. 認可コード横取り (中間者攻撃)| A_NP["攻撃者"]; A_NP --> |4. 横取りした認可コードとclient_idでトークン要求| AS_NP; AS_NP --> |5. アクセストークン付与| A_NP; end subgraph PKCEによる保護されたフロー U_PKCE["ユーザー"] --> |1. code_challengeを含めた認可リクエスト| AS_PKCE("認可サーバー"); AS_PKCE --> |2. 認可コードリダイレクト| C_PKCE("正規クライアント"); C_PKCE --> |3. アクセストークン要求 (code_verifier含)| AS_PKCE; AS_PKCE -- 認可サーバーでcode_challengeとcode_verifierを検証 --> V_PKCE{"PKCE検証"}; V_PKCE -- 検証成功 --> |4a. アクセストークン付与| C_PKCE; V_PKCE -- 検証失敗 --> |4b. エラー応答| C_PKCE; A_PKCE["攻撃者"] --> |3'. 横取りした認可コードと(code_verifierなし/不一致)でトークン要求| AS_PKCE; AS_PKCE -- 認可サーバーでPKCE検証 --> V_PKCE; V_PKCE -- 検証失敗 --> |4b'. エラー応答| A_PKCE; end </pre></div> <p>PKCEフローでは、正規クライアントは認可リクエスト時に <code>code_challenge</code> を認可サーバーに送ります。その後、アクセストークン交換時には、<code>code_verifier</code> を送ります。認可サーバーは、受け取った <code>code_verifier</code> から <code>code_challenge</code> を再計算し、最初に受け取った <code>code_challenge</code> と一致するか検証します。これにより、認可コードを横取りした攻撃者は正しい <code>code_verifier</code> を持たないため、アクセストークンを取得できません。</p> <h2 class="wp-block-heading">検出と緩和</h2> <p>PKCEを導入することで、認可コード横取り攻撃に対する強固な緩和策を講じることができます。</p> <h3 class="wp-block-heading">PKCEの必須化</h3> <p>RFC 7636（2015年9月）で定義されたPKCEは、公共クライアントにとって認可コードフローのセキュリティを強化するための事実上の標準であり、IETF BCP 212（2020年1月）でもブラウザベースのアプリケーションにおけるPKCEの利用が推奨されています[1][2]。</p> <h3 class="wp-block-heading"><code>code_verifier</code> / <code>code_challenge</code> の生成と利用</h3> <ol class="wp-block-list"> <li><p><strong><code>code_verifier</code> の生成</strong>: クライアントは、セッションごとに予測不能でエントロピーの高いランダムな文字列（43文字以上128文字以下）を生成します。これはクライアントサイドで秘匿され、トークン交換時まで保持されます。</p></li> <li><p><strong><code>code_challenge</code> の計算</strong>: <code>code_verifier</code> を基に、<code>code_challenge_method</code> に従って <code>code_challenge</code> を計算します。推奨される <code>code_challenge_method</code> は <code>S256</code> です。 <code>code_challenge = BASE64URL-ENCODE(SHA256(ASCII(code_verifier)))</code></p></li> <li><p><strong>認可リクエスト</strong>: 認可リクエストには、<code>code_challenge</code> と <code>code_challenge_method</code> パラメータを含めます。</p> <pre data-enlighter-language="generic">GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz &redirect_uri=https%3A%2F%2Fclient.example.com%2Fcb &code_challenge=E9MelSacrZRYUo8GmEvgX-jxkoJ7_G9Xf4Wn_jQ_jQ &code_challenge_method=S256 HTTP/1.1 </pre></li> <li><p><strong>アクセストークンリクエスト</strong>: 認可コードを受け取った後、トークン交換リクエストには <code>code_verifier</code> パラメータを含めます。</p> <pre data-enlighter-language="generic">POST /token HTTP/1.1 Host: server.example.com Content-Type: application/x-www-form-urlencoded grant_type=authorization_code&client_id=s6BhdRkqt3 &code=SplxlOBeZQQYbYS6WxSbIA &redirect_uri=https%3A%2F%2Fclient.example.com%2Fcb &code_verifier=dBjftJeZ4CVP-mB92K27uhbUqjPzChX_nLFCRfr` </pre></li> </ol> <h3 class="wp-block-heading">コード例: <code>code_verifier</code> と <code>code_challenge</code> の生成 (Python)</h3> <div class="codehilite"> <pre data-enlighter-language="generic">import base64 import hashlib import os def generate_pkce_code_verifier(length=96): """ PKCE code_verifier を生成する。 RFC 7636 に従い、43〜128オクテットのランダムなURLセーフ文字列を生成する。 """ if not (43 <= length <= 128): raise ValueError("code_verifier の長さは43〜128オクテットでなければなりません。") # 32バイト (256ビット) のランダムなバイト列を生成 # Base64 URLエンコードすると約43文字になる random_bytes = os.urandom(length // 4 * 3) # 43文字以上にするための目安 # Base64 URLエンコード (パディングなし) code_verifier = base64.urlsafe_b64encode(random_bytes).decode('utf-8').rstrip('=') return code_verifier[:length] # 指定された長さに調整 def generate_pkce_code_challenge(code_verifier): """ code_verifier から S256 method を使用して code_challenge を計算する。 """ # SHA256ハッシュを計算 s256_hash = hashlib.sha256(code_verifier.encode('ascii')).digest() # Base64 URLエンコード (パディングなし) code_challenge = base64.urlsafe_b64encode(s256_hash).decode('utf-8').rstrip('=') return code_challenge # 誤用例: 短すぎる/予測可能な code_verifier # bad_verifier = "short" # これはPKCEの要件を満たさない # 安全な代替例: 正しく code_verifier と code_challenge を生成 verifier = generate_pkce_code_verifier() challenge = generate_pkce_code_challenge(verifier) print(f"安全なcode_verifier: {verifier} (長さ: {len(verifier)})") print(f"安全なcode_challenge (S256): {challenge}") print(f"code_challenge_method: S256") # 認可リクエスト例 (Bash) # echo "GET /authorize?response_type=code&client_id=YOUR_CLIENT_ID&state=RANDOM_STATE # &redirect_uri=https%3A%2F%2Fclient.example.com%2Fcb # &code_challenge=$challenge # &code_challenge_method=S256 HTTP/1.1" # アクセストークンリクエスト例 (Bash) # echo "POST /token HTTP/1.1 # Host: server.example.com # Content-Type: application/x-www-form-urlencoded # # grant_type=authorization_code&client_id=YOUR_CLIENT_ID # &code=OBTAINED_AUTHORIZATION_CODE # &redirect_uri=https%3A%2F%2Fclient.example.com%2Fcb # &code_verifier=$verifier" </pre> </div> <h3 class="wp-block-heading">その他の緩和策</h3> <ul class="wp-block-list"> <li><p><strong>リダイレクトURIの厳格な検証</strong>: 認可サーバーは、事前に登録されたリダイレクトURIのホワイトリストと、リクエストに含まれる <code>redirect_uri</code> が完全に一致するかを厳格に検証する必要があります。ワイルドカードや部分一致は避けるべきです[3]。</p></li> <li><p><strong><code>state</code> パラメータの利用</strong>: PKCEと同時に<code>state</code> パラメータも利用することで、CSRF攻撃に対する保護を強化し、ユーザーのセッションと認可リクエストを紐づけることができます。</p></li> </ul> <h2 class="wp-block-heading">運用対策</h2> <p>PKCEを導入するだけでなく、運用面でも以下の対策を講じることで、セキュリティを維持・向上できます。</p> <h3 class="wp-block-heading">鍵/秘匿情報の取り扱い</h3> <ul class="wp-block-list"> <li><p><strong><code>code_verifier</code> のライフサイクル</strong>: <code>code_verifier</code> はクライアント側でセッションごとに生成し、認可コードを取得してアクセストークンと交換するまで、安全なメモリまたはセキュアなストレージに保持する必要があります。認可コードフローの完了後は速やかに破棄します。</p></li> <li><p><strong>クライアントシークレット（機密クライアント向け）</strong>: PKCEは公共クライアント向けですが、機密クライアント（サーバーサイドアプリなど）の場合、<code>client_secret</code> も適切に保護する必要があります。環境変数、キーマネジメントサービス（KMS）、またはセキュアな設定管理ツールで管理し、ソースコードへのハードコードは避けます。</p></li> <li><p><strong>短寿命なトークン</strong>: 認可コード、アクセストークン、リフレッシュトークンは、それぞれ有効期限を短く設定することで、漏洩時のリスクを低減します。</p></li> </ul> <h3 class="wp-block-heading">ローテーション</h3> <ul class="wp-block-list"> <li><strong>トークンローテーション</strong>: リフレッシュトークンは、定期的なローテーションを強制することで、漏洩したトークンが悪用される期間を短縮します。新しいアクセストークン発行時に新しいリフレッシュトークンを発行し、古いものを無効化する「Revolving Refresh Token」戦略が推奨されます。</li> </ul> <h3 class="wp-block-heading">最小権限の原則</h3> <ul class="wp-block-list"> <li><strong>スコープの制限</strong>: クライアントが必要とする最小限のスコープのみを要求するように設計します。これにより、トークンが漏洩した場合の攻撃範囲を最小限に抑えられます。</li> </ul> <h3 class="wp-block-heading">監査と監視</h3> <ul class="wp-block-list"> <li><p><strong>認可サーバーログの監視</strong>:</p> <ul> <li><p>認可リクエスト、トークン交換リクエストのログを詳細に記録します。</p></li> <li><p>PKCE検証失敗（<code>code_challenge</code> と <code>code_verifier</code> の不一致）のイベントを監視し、異常を検知した場合はアラートを発報する仕組みを構築します。</p></li> <li><p>不正な <code>redirect_uri</code> を含むリクエストも監視対象とします。</p></li> </ul></li> <li><p><strong>クライアントログの監視</strong>: クライアント側で発生するセキュリティ関連イベント（例: 認可コードの取得、トークン交換の試行）も記録し、異常な挙動がないか監視します。</p></li> </ul> <h3 class="wp-block-heading">現場の落とし穴</h3> <ul class="wp-block-list"> <li><p><strong>PKCEの実装漏れ</strong>: 公共クライアントであるにも関わらず、PKCEの実装が欠けているケースが依然として存在します。既存のアプリケーションをPKCE対応に改修する際は、テストを徹底する必要があります。</p></li> <li><p><strong><code>code_verifier</code> の不適切な保管</strong>: <code>code_verifier</code> がクライアントサイドで攻撃者に推測可能、またはアクセス可能な方法で保管されている場合、PKCEの保護が無効になります。クライアントのセキュアなメモリや、Web Storage（LocalStorage/SessionStorage）を使用する際はXSS対策を万全にする必要があります。</p></li> <li><p><strong><code>state</code> パラメータの誤用</strong>: <code>state</code> パラメータが単なるランダム文字列であり、ユーザーセッションと紐付けられていない場合、認可サーバーがリクエスト元の正当性を検証できなくなります。</p></li> <li><p><strong>リダイレクトURIの検証不備</strong>: ワイルドカード許可や不完全なパス検証は、オープンリダイレクターの脆弱性を生み、認可コード横取り攻撃を容易にします。</p></li> </ul> <h2 class="wp-block-heading">まとめ</h2> <p>OAuth 2.0 PKCEは、特に公共クライアントにおける認可コードフローのセキュリティを大幅に向上させるための必須の標準メカニズムです。認可コード横取り攻撃からアプリケーションとユーザーデータを保護するために、<code>code_verifier</code> と <code>code_challenge</code> の適切な生成と利用、厳格なリダイレクトURI検証、そして<code>state</code> パラメータの併用を徹底することが不可欠です。</p> <p>運用においては、鍵/秘匿情報の適切な管理、トークンローテーション、最小権限の適用、そして異常を検出するための監査ログ監視がセキュリティ体制をより強固にします。これらの対策を複合的に実施することで、OAuth 2.0フローを安全に運用することが可能になります。</p> <hr/> <p>[1] IETF. “OAuth 2.0 for Browser-Based Applications (BCP)”. <code>https://datatracker.ietf.org/doc/html/draft-ietf-oauth-browser-based-apps-11</code>. 最終更新日: 2024年5月9日. [2] IETF. “Proof Key for Code Exchange by OAuth Public Clients”. <code>https://datatracker.ietf.org/doc/html/rfc7636</code>. 公開日: 2015年9月. [3] Google Developers. “OpenID Connect & OAuth 2.0: Best practices”. <code>https://developers.google.com/identity/protocols/oauth2/oauth-best-practices</code>. 最終更新日: 2024年5月28日.</p>

graph TD
    subgraph PKCEなしの認可コード横取り攻撃
        U_NP["ユーザー"] --> |1. 認可リクエスト| AS_NP("認可サーバー");
        AS_NP --> |2. 認可コードリダイレクト| C_NP("正規クライアント");
        C_NP -.-> |3. 認可コード横取り (中間者攻撃)| A_NP["攻撃者"];
        A_NP --> |4. 横取りした認可コードとclient_idでトークン要求| AS_NP;
        AS_NP --> |5. アクセストークン付与| A_NP;
    end

    subgraph PKCEによる保護されたフロー
        U_PKCE["ユーザー"] --> |1. code_challengeを含めた認可リクエスト| AS_PKCE("認可サーバー");
        AS_PKCE --> |2. 認可コードリダイレクト| C_PKCE("正規クライアント");
        C_PKCE --> |3. アクセストークン要求 (code_verifier含)| AS_PKCE;
        AS_PKCE -- 認可サーバーでcode_challengeとcode_verifierを検証 --> V_PKCE{"PKCE検証"};
        V_PKCE -- 検証成功 --> |4a. アクセストークン付与| C_PKCE;
        V_PKCE -- 検証失敗 --> |4b. エラー応答| C_PKCE;

        A_PKCE["攻撃者"] --> |3'. 横取りした認可コードと(code_verifierなし/不一致)でトークン要求| AS_PKCE;
        AS_PKCE -- 認可サーバーでPKCE検証 --> V_PKCE;
        V_PKCE -- 検証失敗 --> |4b'. エラー応答| A_PKCE;
    end

import base64
import hashlib
import os

def generate_pkce_code_verifier(length=96):
    """
    PKCE code_verifier を生成する。
    RFC 7636 に従い、43〜128オクテットのランダムなURLセーフ文字列を生成する。
    """
    if not (43 <= length <= 128):
        raise ValueError("code_verifier の長さは43〜128オクテットでなければなりません。")

    # 32バイト (256ビット) のランダムなバイト列を生成


    # Base64 URLエンコードすると約43文字になる

    random_bytes = os.urandom(length // 4 * 3) # 43文字以上にするための目安

    # Base64 URLエンコード (パディングなし)

    code_verifier = base64.urlsafe_b64encode(random_bytes).decode('utf-8').rstrip('=')
    return code_verifier[:length] # 指定された長さに調整

def generate_pkce_code_challenge(code_verifier):
    """
    code_verifier から S256 method を使用して code_challenge を計算する。
    """

    # SHA256ハッシュを計算

    s256_hash = hashlib.sha256(code_verifier.encode('ascii')).digest()

    # Base64 URLエンコード (パディングなし)

    code_challenge = base64.urlsafe_b64encode(s256_hash).decode('utf-8').rstrip('=')
    return code_challenge

# 誤用例: 短すぎる/予測可能な code_verifier


# bad_verifier = "short" # これはPKCEの要件を満たさない

# 安全な代替例: 正しく code_verifier と code_challenge を生成

verifier = generate_pkce_code_verifier()
challenge = generate_pkce_code_challenge(verifier)

print(f"安全なcode_verifier: {verifier} (長さ: {len(verifier)})")
print(f"安全なcode_challenge (S256): {challenge}")
print(f"code_challenge_method: S256")

# 認可リクエスト例 (Bash)


# echo "GET /authorize?response_type=code&client_id=YOUR_CLIENT_ID&state=RANDOM_STATE


#     &redirect_uri=https%3A%2F%2Fclient.example.com%2Fcb


#     &code_challenge=$challenge


#     &code_challenge_method=S256 HTTP/1.1"

# アクセストークンリクエスト例 (Bash)


# echo "POST /token HTTP/1.1


# Host: server.example.com


# Content-Type: application/x-www-form-urlencoded

#


# grant_type=authorization_code&client_id=YOUR_CLIENT_ID


# &code=OBTAINED_AUTHORIZATION_CODE


# &redirect_uri=https%3A%2F%2Fclient.example.com%2Fcb


# &code_verifier=$verifier"