Base44 認証バイパス
$80Mの買収直後
2025年6月、イスラエルのvibe codingプラットフォーム「Base44」は、大きな節目を迎えました。
ウェブサイトビルダーの巨人 Wix が、Base44を $80M(約120億円) で買収したのです。
Base44は、自然言語でビジネスアプリケーションを構築できるプラットフォームでした。エンタープライズ向けの機能も充実しており、多くの企業が内部ツールの開発に利用していました。
しかし、買収からわずか1ヶ月後、衝撃的な事実が明らかになります。
Wiz Researchの発見
2025年7月9日、セキュリティ企業Wiz Researchは、Base44に致命的な脆弱性を発見しました。
発見された脆弱性:
registerエンドポイント:認証なしでアクセス可能OTP verificationエンドポイント:認証なしでアクセス可能
これらのエンドポイントを悪用することで、app_idだけで全認証を突破 できる状態でした。
app_idの問題
app_idとは、Base44で作られた各アプリケーションを識別するIDです。
問題は、このapp_idが 公開情報 だったことです。
app_idの取得方法:
- アプリケーションのURL
- マニフェストファイル
- ブラウザの開発者ツール
つまり、アプリにアクセスできる人なら誰でも、app_idを取得できたのです。
そして、そのapp_idさえあれば、認証を完全にバイパスできました。
AI生成コードでSSOが無効化される問題
特に深刻だったのは、SSO(シングルサインオン)保護が完全に迂回可能 だったことです。
多くのエンタープライズは、セキュリティのためにSSOを導入しています。「社内のIDプロバイダーで認証しないとアクセスできない」という仕組みです。
しかし、Base44の脆弱性により、このSSO保護は意味をなしませんでした。
攻撃者は、SSOを経由せずに直接アプリケーションにアクセスできたのです。
影響を受けたアプリケーション
この脆弱性により、以下のようなエンタープライズアプリケーションが危険に晒されました。
危険に晒されたアプリ:
| 種類 | リスク |
|---|---|
| 内部チャットボット | 機密会話の漏洩 |
| ナレッジベース | 社内情報の流出 |
| HR業務アプリ | 従業員個人情報の漏洩 |
| PII管理システム | 顧客個人情報の流出 |
エンタープライズが「便利だから」と導入したツールが、セキュリティホールになっていたのです。
「基本的なAPIの知識だけ」
この脆弱性が特に懸念される理由は、そのシンプルさ でした。
Wiz Researchはこう報告しています。
“What made this vulnerability particularly concerning was its simplicity – requiring only basic API knowledge to exploit.” 「この脆弱性が特に懸念される理由は、そのシンプルさだった。悪用に必要なのは基本的なAPIの知識だけ。」
高度なハッキングスキルは不要でした。APIの基本を知っている人なら、誰でも悪用できる状態だったのです。
共有インフラが生むシステミックリスク
Base44の事例は、vibe codingプラットフォームに共通する構造的な問題を浮き彫りにしました。
Wiz Researchはこう警告しています。
“A single flaw in the platform’s core, especially in a critical component like authentication, instantly jeopardizes every single application built upon it.” 「プラットフォームのコア、特に認証のような重要コンポーネントの単一の欠陥は、その上に構築されたすべてのアプリケーションを即座に危険にさらす。」
Base44で構築されたアプリが1,000個あれば、1,000個すべてが同時に脆弱になります。
これは、vibe codingプラットフォームの システミックリスク です。
インシデント対応:24時間での対応
今回の事例で評価できるのは、Base44(およびWix)の対応速度でした。
タイムライン:
| 日付 | 出来事 |
|---|---|
| 7月9日 | Wiz Research、脆弱性を発見・報告 |
| 7月10日 | パッチ適用完了 |
24時間以内 にパッチが適用されました。
幸いにも、野生での悪用は確認されませんでした。
M## 買収デューデリジェンスの教訓A買収デューデリジェンスの教訓:AI生成コード
この事件は、M&A(企業買収)における セキュリティデューデリジェンスの重要性 も示しています。
$80Mで買収したサービスに、致命的な認証バイパス脆弱性が存在していた——これは買収者にとっても、被買収者にとっても、大きなリスクです。
買収前に確認すべきこと:
- 認証システムのアーキテクチャ
- セキュリティ監査の履歴
- 脆弱性対応のプロセス
- コードレビューの実施状況
vibe codingプラットフォームの買収には、特別な注意が必要です。
他のプラットフォームへの警告
Wiz Researchは、Base44だけでなく、2,000以上のvibe-codedサイトをスキャンしました。
調査結果:
- 49.5% のサイトでフロントエンドに秘密情報が露出
- APIキー、JWT、Google APIキーなどが公開状態
Base44の問題は、vibe codingプラットフォーム全体に共通する構造的な問題の一例に過ぎません。
この事例から学ぶべき教訓
Base44事件から学ぶべきことは以下の通りです。
-
プラットフォームの脆弱性は全ユーザーに波及する
- 共有インフラのシステミックリスクを認識する
-
認証は最も重要なコンポーネント
- 認証バイパスは最も致命的な脆弱性
-
公開情報(app_id等)だけでアクセスできてはいけない
- 識別子と認証は別物
-
SSOは銀の弾丸ではない
- バイパス可能なSSOは意味がない
-
買収前のセキュリティ監査は必須
- 特にvibe codingプラットフォームでは
まとめ:重要ポイントの振り返り
- Base44はWixに$80Mで買収されたvibe codingプラットフォーム
- 買収直後にWiz Researchが致命的な認証バイパス脆弱性を発見
- app_id(公開情報)だけで全認証を突破可能
- SSO保護も完全に迂回可能
- 24時間でパッチ適用、野生での悪用は確認されず
- 教訓:プラットフォームの脆弱性は全ユーザーに波及する