あるウェブサービスで発見した脆弱性の届出を、独立行政法人 情報処理推進機構 (IPA) へ行った。その脆弱性は無事に修正されたようなので、届出から修正完了までの時系列などを記しておきます。参考になれば幸いです。
某eラーニングサイトの限定公開コンテンツには、ID・パスワード認証が設けられている。しかしながら、ある特定のURLへ直接アクセスすると、コンテンツの内容が認証無しに閲覧できてしまった。その“特定のURL”のヒントは、各コンテンツのHTMLソース内に記述されている。
このような、「認証の不備」もしくは「セッション管理の不備」に該当すると考えられるウェブアプリケーションの脆弱性を、正規のユーザとしてサイトを利用中に発見した。
今回の脆弱性を、某eラーニングサイトの運営企業には伝えず、IPAに伝えたのはなぜか。それは、ウェブサイトの運営側に関わったこともある私自身の経験上、単なる第三者からの指摘に対しては、サイト運営側が誠実に対応を行うとは限らないこともあろうと予想したため。しかも上記の不備は、某eラーニングサイトの仕様の根幹に関わっている、大穴の脆弱性である可能性もあるかもしれない。本件の状況において、もっとも迅速着実に対応がなされるためには、いわゆる「外圧」を使う、「虎の威を借る」方法がベストだろうと考えた。
なお、発見した脆弱性の対処法、届出先については、本記事執筆中に見つけた次のページが大変参考になります。
私がこの脆弱性を発見する際には、“特定のURL”へ正規のログイン時のCookie情報やReferer情報を渡さなくても、コンテンツが閲覧できてしまうかの確認として、いわゆる「強制ブラウジング」攻撃に近い行為を行っている。この行為が、法的に問題がないものとみなされるかどうか、正直戸惑った。
IPAの次のガイドラインを読み込んだ結果、この行為は、届出時の記入情報を確認するために必要な範囲内だろうと判断し (この判断は私の自己流のものなので、ケースに応じて各自ご判断ください)、問題の“特定のURL”もいくつか具体的に記載して届出を行った。
IPAのガイドラインで特に注視した部分を、次に引用しておく。
1) 脆弱性関連情報の発見・取得
脆弱性関連情報の発見・取得に際しては、関連法令に触れることが無いように留意してください。法的な論点に関しては、付録3を参照してください。
(2)不正アクセス禁止法に抵触しないと推察される行為の例
脆弱性の発見に最も関係が深い不正アクセス禁止法に対しては慎重な扱いが求められます。といっても脆弱性を発見する際に、必ずしも不正アクセス禁止法に抵触するとは限りません。以下に、不正アクセス禁止法に抵触しないと推察される行為の例を挙げます。
1) ウェブアプリケーションの利用権者が、正規の手順でログインする等して通常のアクセスをした際に、ブラウザとサーバとの通信の内容を観察したところ、それだけで脆弱性の存在を推定できた場合。
3) アクセス制御による制限を免れる目的ではなく、通常の自由なページ閲覧を目的として、日付やページ番号等を表すと推察される URL 中の数字列を、別の数字に差し替えてアクセスしてみたところ、社会通念上、本来は利用できてはならないはずと推定される結果が、偶発的に起きてしまった場合。(ただし、積極的に多数の数字列を変えて試す行為等は、制限を免れる目的とみなされる可能性があります。)
届けるべきところに届け出たことで、世の中のITの脆弱性のひとつを塞ぐきっかけを作れたことは、純粋に良かったと思う。そして認証不備の脆弱性がうまく再現できたのだろうか、IPAからの「取扱い開始のご連絡」メールが、届出日当日に送られてきたのには驚いた。
脆弱性をIPAへ届け出るという手段は、情報処理安全確保支援士 (RISS; 登録セキスペ) の資格維持のために受講したオンライン講習の中で取り上げられており、私はそれではじめて詳しく知ったのだった。今回IPAへの届出を実際に行えたことは、受講費用が高額な講習が役に立ったのかもしれないし、支援士としての務めを果たせたような気もしてちょっと嬉しい。