脆弱性発見報奨金制度の運営ノウハウや苦労話を本音で語るLINEとサイボウズの対談。第1回はプログラムの準備、第2回は審査や報奨金の決定過程を紹介したが、第3回は外部のバグハンターとのコミュニケーションにおける苦労話を紹介する。

写真●左から、サイボウズ グローバル開発本部 品質保証部の伊藤彰嗣氏、サイボウズ グローバル開発本部 副本部長の佐藤鉄平氏、LINE セキュリティ室の李明宰氏、LINE セキュリティ室の中村智史氏
[画像のクリックで拡大表示]

記者 報奨金プログラムでバグハンターとやり取りする過程で、どのような点に苦労しましたか。

サイボウズ伊藤氏 まず、マンパワーという点で一番大変だったのは、報奨金プログラム本体ではなく、2014年8月上旬に実施した「バグハンター合宿」(関連記事:サイボウズが実施した「バグハンター合宿」)でした。2日で50件以上の脆弱性報告を評価しました。

 通常の脆弱性プログラムでは、評価結果をメールで報告するため、幾分余裕があります。一方でハンター合宿では、その場で評価を伝えないといけません。バグハンターの皆さんの顔色を伺いつつ評価を伝えるわけで、運営側のプレッシャーは大きかったですね。

 ちなみに、合宿の場にはサイボウズの社員もいたので、非常にソーシャルハッキングがしやすい環境でした(笑)。「社員とのコミュニケーション」という名の下に、バグハンターの皆さんが協力した結果、脆弱性が見つかったことはありましたね。あれは面白かったです。

記者 え。それは、社員が実装時に見つけた脆弱性を漏らしたとか?

サイボウズ佐藤氏 社員も脆弱性自体は当然知りません。バグハンターの皆さんは「サイボウズ社内ではどのような試験を既にやっているのか?」といった話を聞き出して、「ここにはまだ穴がありそうだ」といったヒントをつかんだそうです。

 社員によれば、バグハンターの皆さんと一緒に一緒にランチを食べながら、なんとなく殺気を感じたとか(笑)。

記者 バグハンターとのやり取りに当たって、想定外のケースはありましたか。

伊藤氏 お恥ずかしい話なのですが、脆弱性と1回は認定して、いざ修正しようとした結果、最終的に「これは脆弱性ではない」と結論付けたケースがありました。これは社内の脆弱性ハンドリング体制の都合なのですが、このとき報告者にどう報告したらいいものか、大変苦労しました。

記者 端的にいえば「このバグは仕様です」といったケースでしょうか。

伊藤氏 「仕様です」になるケースも確かにあります。あるいは、脆弱性の認定はしたものの、製品チームの観点からはセキュリティリスクが高いとは考えにくく、改修の優先度が低いため、最終的にリジェクトするケースもあります。

 例えば、漏えいする情報が極めて少ない場合や、元々システムとして許容しているケースもあります。

 こうしたグレーの領域では、脆弱性の報告者に説明する際のルールをあらかじめ作っておかないと、いざというときにうまく説明できません。サイボウズの場合、最初に短期のプログラムを実施した際にこうした経験をしたので、次のプログラムでは説明のルールを盛り込むことができました。

佐藤氏 セキュリティチームの観点からいえば「見えるべきではないものが見える」のが脆弱性です。

 ただ製品チームからすると、見えたものが全く重要でない情報だったり、その操作をするには管理者権限が必要だったりした場合、それは脆弱性と言えるかどうか?と考えるのです。

 そもそも管理者権限が奪われれば、脆弱性にかかわらず、あらゆる情報が盗めるので、脆弱性と評価する意味がありませんし。

記者 ちなみに、脆弱性の判断基準の話が出たのでLINEさんに聞きたいのですが……あの週刊誌ネタにもなったクローンiPhoneの件は、脆弱性に含まれるのでしょうか。

LINE中村氏 ここで、すごい質問を突っ込んできましたね(笑)。

LINE広報 LINEとしては、あの問題はiPhoneの仕様上の問題と考えており、脆弱性とは考えていません。弊社のアプリだけに起こるものではありません。

 2016年2月22日に、複数の端末から同時アクセスできないよう仕様を変更しましたが、これもあくまで「仕様の変更」です。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら