脆弱性の発見と報告とIPA
なんとなーく、脆弱性を見つける→IPAへ報告というのが一般的なのかと、何を見たわけでもなく思ってる自分がいて、報告をしたりもした。
報告したものは基本的に、脆弱性がありそうだな…と思い、怪しい場所をチェックをしてやっぱり見つかったりするので報告するという感じ。
でも、その理由をそのままIPAに報告すると「脆弱性を探すのはやめなさい(やめてください)」といった旨の返事がくる。
私も割と大きめなWEBサービスの開発運営に関わっているのでこれは間違い無いと思うけれど、普通に使ってて、たまたま脆弱性が見つかるなんて結構稀なパターンじゃないかと思う。(もちろん無いわけではない)
通常、普通に使っててたまたま見つかるような部分はテストされてるからね。
となると、脆弱性は普通ではやらないような部分とかに残ってる。
自分が利用してるor利用しようと思ったWEBサービスに、致命的な脆弱性があると嫌なので、そういう部分を軽く調べてみたりする。
で脆弱性が見つかってIPAへ報告すると、脆弱性を探すなと怒られる。うーん…
前にはまちちゃんとかとこの話をしたりして、IPAって?何のために脆弱性受付てんの?何で脆弱性報告するの?天下りって?とか言う話になったりしたこともあった。
はまちちゃんははまちちゃんで、その確認の為なのかは私にはわからないけれど、IPAと色々やってたみたい。
でもその過程とか結果とかを見てると、さらにIPAへ脆弱性を報告する意味やら必要性やらが良くわかんなくなってくる。
今までに脆弱性を見つけてIPAを通さず直接サービス運営者に伝えた事も何度かあるけど、すべての報告で怒られるどころか感謝されてる。
結構グレーな所ではあるけど、あのはまちちゃんのやり方でさえ怒られないというか、むしろ感謝されてるんじゃないかと思う。
実際うちの会社で作ったシステムも、昔はまちちゃんにやられたことがあって、その時やっぱり感謝したし。(だからといってアタックを推奨するわけではない)
先日会社で使う事になったシステムを、はまちちゃん、send、私の3人でざっと脆弱性チェックをしてたら1時間程度でSQLインジェクションという致命的な脆弱性までたどり着いた。
これはIPAとかを通さず相手に直接伝えたが、やっぱり感謝はされたものの、怒られたりということは一切無かった。
もちろんデータ改ざんしたり盗聴したりすると大問題だけど、脆弱性を探す事自体は(やり方にもよるけど)特に害があるとは思えない。
そういう点で考えるとサービス運営者側とIPAで方針や考え方は、ずれてるんじゃないかという気がする。
もしかして、私の考え方がおかしいのかな?
(一般的なサービス運営者的な考え方と違うのかな?)
まあ、今のままだとIPAに脆弱性を報告する意味とか理由がわからない(特別にない)ので、脆弱性を見つけたときは直接報告、もしくは何もせずそのサービスを利用しないかのどっちかを選ぶかな。
●ちょっと追記。
もちろん脆弱性の探し方とか探す場所とかは選ぶべきで、明らかに関係の無い他の利用者などが見て一発で解るような探し方、例えばパブリックなBBSを閲覧したら全員にalertが出るようなのは問題があるんじゃないかと思う。
他にも見れないはずの他人のデータを見たり、実際に他人のデータを書き換えたりとか、認証が必要なところに認証なしで入ったりとかする方法はさすがに問題があると思う、というか犯罪。
自分が使える領域内で、自分がいじれる部分、この場所で周りに影響が出ない範囲でCSRFとかXSSとかの初歩レベルのチェックをして不正アクセス禁止法とか言ってる時点で、そもそもおかしいんじゃないかと。
私的には、自分も入居しようかな?と思ってたマンションは、塀が低くて、薄いカーテンがついてるだけ。
昼は平気だけど夜に背の高い私が中を見ると部屋の中が見えるんじゃないのか?と、家の方を見たら、案の定家の中が見えちゃってる。
警察に部屋の中丸見えだよ注意した方が良いんじゃないかと伝えたら、「丸見えも何も君が見なければ良いだけだ」と怒られたというイメージかな。
不正アクセス禁止法とかは、「部屋の中みたから迷惑防止条例違反だね」とかそんな感じ。
(調べず書いてるので例えが妥当かはちょっと解らないけど、あくまでこんなイメージ)
●さらに追記。
ここで書いている「脆弱性を探す」行為で行っている事は、XSS(タグの挿入)とか、GETパラメータの改ざんとか、URLをさかのぼったりとか、明らかにPCにあまり詳しくない初心者でも確認出来てしまうレベルの脆弱性です。
これ以上のチェックをする場合、色々問題があるので、実際にはこの辺までしかやりません。
(相手とか、相当重要な情報を扱う場合とか、お金払って使ってるサービスとか、場合によっては調べる事もある)
でもまあ、実際初歩レベルの脆弱性が見つかると、結構致命的な脆弱性も予想できる部分にあったりするんですよね…。
関連記事 脆弱性のユーザ自衛について思うこと
>パブリックなBBSを閲覧したら全員にalertが出るようなのは問題があるんじゃないか
>他にも見れないはずの他人のデータを見たり
>実際に他人のデータを書き換えたりとか
>さすがに問題があると思う。
それってもろ、はまちや2のことじゃん。
>それってもろ、はまちや2のことじゃん。
で?
何が言いたいのかこれだけだとよくわからないです。
はまちや2のやってることは問題がある
ってことだよ。なんでわからないの?文章どおりなんだけど。
私も、はまちや2のやり方は、色々と問題もあると思ってますよ。
ただ、この記事では、はまちや2の方法とか思想がが素晴らしいとかそんな事が言いたいわけではくて「IPAに脆弱性を報告する意味あるのかな?」「脆弱性を調べる行為って問題があるのかな?」
というところを書いてるだけなので、「はまちや2の遣ってる事は駄目じゃん」とか私に言われても、それで何が言いたいのか理解できなかったんですけどね。
個人的な「はまちや2」に対する意見を言うと、
はまちや2が対象にしてるWEBサービスは、私と同じように脆弱性を調べられても問題ない(よりセキュリティ向上につながるとポジティブな受け取り方がある程度出来る)WEBサービスが多いと思うけど。
もし運営者が悪い方にしか取ってないなら、警告してアカウントをさっさと削除すれば良いわけだし、ログとか全部残ってるだろうから訴えるなり通報するなりすればいいと思います。
念のためもう一度言いますが、はまちや2の行為は、サービス利用者視点やら、法律視点やらでみるとどうなのかといえば、もちろん問題あるんじゃないですかね。
それに対して擁護するつもりはないです。