写真提供:マイナビニュース

写真拡大

サイボウズは1月28日、サイボウズ脆弱性報奨金制度についての説明会を開催し、2015年の制度で約600万円の報奨金が支払われる予定を公表した。

○26名のバグハンターによって116件の脆弱性が認定され、45件は改修済

サイボウズでは同社のクラウドサービスの品質向上を目的とした「cybozu.com Security Challenge」を2013年に実施し、2014年からは本番環境と物理的に隔離した脆弱性検証環境の常設提供や脆弱性報奨金制度を始めている。

現在、検証環境を継続的に利用されている研究者は47名。2015年の脆弱性報告は26名から総計238件の連絡を受け、説明会までに116件を脆弱性(うち深刻度の高い脆弱性1件)として認定した。報奨金は約600万円(確定約400万+現在評価中の脆弱性78件から50件程度が認定される見込み)が支払われる。

説明会では、サイボウズCSIRTの窓口業務を行っている伊藤 彰嗣氏が報奨金制度の説明会を行った。サイボウズではプログラマーにセキュア開発トレーニングを行ったり、リリース前に社内テストを行っている。

それでも見つけきれない未知の脅威が存在する事に加え、外部から「〇〇は脆弱性」と指摘されることで「社内では脆弱性ではないと判断していたものを脅威として認識することがある」と同制度の意義を説明する。

2015年のルールではCVSS v2に基づき脆弱性を判断し、基本値が7.0以上の場合は数値×3万円、6.9以下の場合は数値×1万円。Webサイトの問題は一律1万円とし、特別ルールとしてCVSS v2基本値が5.0のXSS脆弱性は10万円、基本値が6.5を超えるSQLインジェクションは数値×3万円が支払われる。

昨年の結果との比較では、おおよそ同程度の脆弱性が発見(認定作業が完了していない)されたが、深刻度の高い脆弱性が1件と激減する一方で、外部通報の脆弱性のうち、改修完了案件がまだ45件と2014年の81件よりも少なくなってしまったため、これが「今後の課題」という認識を示している。

遅れの原因は、「XSSやSQLインジェクションなどのわかりやすい脆弱性が減った」ことだそうで、不適切な入力確認などの抽象度の高い報告が増えたという。そのため、報告者と連絡を繰り返さないと判断できないケースが増えたことを挙げていた。

また、2016年ルールの説明も行われた。対象サービスに、モバイルサービス(サイボウズoffice新着通知/サイボウズLive Timeline)と周辺サービス(サイボウズDesktop Win/Mac)を加えるほか、脆弱性の評価方法をCVSS(Common Vulnerability Scoring System) v3に移行して深刻度判定が5段階に増加した。

新たに加わった「緊急」の深刻度(基本値9.0-10.0)に関しては数値×5万円に増額する。ただし基本値が6.9以下のSQLインジェクションは、数値×3万円のみと設定した。

○バグハンターによる説明も

当日は「バグハンター感謝祭」も兼ねており、9名のバグハンターが参加。NTTコムセキュリティの東内 裕二氏がライトニングトークを行った。東内氏は2014年にサイボウズの脆弱性を報告したものの、有用と判断されなかった。一方で、「cybozu.comバグハンター合宿」に呼ばれたという。

合宿では、ほかの参加者がアクセス制御不備を見つけていたので、そこに着目。ユーザーAで作成したものが(権限のない)ユーザーBでアクセスできるかどうかの作業を行ったところ、8件のアクセス制御に関する脆弱性を発見し、うち6件が現在までに認定されたそうだ。

アクセス不備の脆弱性は現実的な攻撃に結び付く可能性がある一方で、脆弱性なのか仕様なのか判断しにくく、機械的な診断で見つけにくい。総当たりで試す必要があるが、自動化しにくい上に単純作業のため、モチベーション向上が今後の課題だという。

(小林哲雄)