高木浩光氏、サイボウズは危険な脆弱性を告知しないと指摘 67
ストーリー by mhatta
本当にくさいものには蓋 部門より
本当にくさいものには蓋 部門より
usbeef曰く、"高木浩光@自宅の日記にて サイボウズが再び「闇改修」をしたので電話で抗議したが無駄骨だった とセンセーショナルなタイトルの日記。 こちらの ITproの記事にあるようにサイボウズ製品に3つの脆弱性が発見 されたとのことだが、 サイボウズ側での脆弱性についての告知では、 SQLインジェクションの脆弱性とディレクトリ トラバーサルの脆弱性に ついてだけが告知されており、ITproの記事での 「ログイン・アカウントを持たないユーザーに対して、Office 6に 登録されているユーザー/グループ情報を公開する恐れがある」という 部分への告知が欠落していると、高木氏は指摘している。
高木氏としての結論としては、サイボウズ社はセキュリティポリシーに よって、危険な状況が少ない脆弱性については告知するが、 第三者から攻撃され得る脆弱性については告知しない (更新履歴やFAQには書いておくが積極的に知らせることをしない)という 方針で、今回も、過去もそうしてきたし、今後もそうしていくつもり ということらしい。"
あーあ (スコア:5, すばらしい洞察)
イントラネットでの使用だから、外部から攻撃を受ける可能性は低い。
(うちでサイボウズ製品使っていることを知っていて、その鯖のIPアドレスなり
URLを把握しているなり取得するなどしててユーザーに攻撃プログラムを
実行させるというのはそれなりに面倒)
だから、緊急で対応する必要はなく、そのうちヒマを見て対応すればいいでしょう。
と、セキュリティー部門責任者(非技術者)に回答したわけで。
----
サイボウズ社の対応を一言で表現するなら「泥縄」。
全く改善しないよりはマシだけど、高木氏に指摘されたときに
素直にごめんなさい改善しますってやればいいのに
そこで突っぱねておいて、騒ぎになってからあわてて取り繕うのは
非常に見苦しい。
まず、脆弱性をユーザーが分かるように告知しないとした
セキュリティポリシーがクソ。
次に、「お客様対応責任者」が自分の権限において高木氏の
提案を却下することにしたなら、この人も無能。
ただの会社のスピーカーはいらない。
他の責任部署とかけあってやっぱダメとなったなら、会社がクソ。
こんなんだと、多分またそのうち同じことをやるんじゃないですかね。
さらに、サイボウズ社の言っていることはあまり信用できないから
ホントのところはもっとヤバい修正を履歴にすらのせずに
内緒でしているかも知れないって疑いもでてきますわな。
Re:あーあ (スコア:3, 参考になる)
いうツッコミはナシの方向で。
Re:あーあ (スコア:0, フレームのもと)
ログイン画面の名前メニューにずらーっと(w
サイボウズなページが外から見えるようになってる会社もあるし(w
/.-edされてる (スコア:4, 参考になる)
この件には続きがあって、昨日対応が少し入ったみたいです。
→http://takagi-hiromitsu.jp/diary/20060901.html#p01 [takagi-hiromitsu.jp]
-- やさいはけんこうにいちば〜ん!
またかって感じ (スコア:4, 興味深い)
というか、今もある。
これについてはサイボウズも認識しているはずなのですが放置プレイのままです。
Login用のクッキーはエンコードしてあるんだけど、アカウントを渡すパラメータが平文のままで、こいつを偽装すると成り済ましが可能ってのはバグとかミスとかって過失の問題ではなくデザインとかセキュリティをないがしろにする姿勢の問題なんじゃないかと。
#ガルーンを使っている人は試してみよう!
そう言う風に姿勢の問題だと思えば、今回の対応なんかも、なるほどって納得できるよね。
ガルーン2になって直っている風情なんですが、2は2で製品のラインナップ上の問題がいろいろあるので簡単には乗り換えられないし。
Re:またかって感じ (スコア:1, 興味深い)
というか、シングルサインオンを使ってこの脆弱性があるってことだと他のシステムへも問題が波及するわけで、ある意味もっと大問題。
平文で渡され、PC側で管理されるクッキーを認証情報として利用しようってのがそもそもの大間違い。
でも、きっとこういうのってなかなか心入れ替えないんだろうなぁ。
Re:またかって感じ (スコア:0)
これで結構な保守料取ってるんだからいい商売だよな。
『保守料は頂きます』、『でもその脆弱性は危険ではありません』とか『社内で使うものだから緊急の修正の必要はありません』じゃ詐欺だよ。
#やっぱ、高くても Notes にすればよかった。
告知は変更されたようです。 (スコア:3, 参考になる)
単純にサポート部門の権限では安易に要求を受けることができなかっただけではないかな?
Re:告知は変更されたようです。 (スコア:0)
Re:告知は変更されたようです。 (スコア:1, おもしろおかしい)
Re:告知は変更されたようです。 (スコア:1)
視点としては権限の有る人間の問題を見たほうが良いので、権限があるのに情報を受け取れない人は誰だったのか? なぜ情報が入手できないのか? ですね。
回せなかったのはやっぱり無能といってしまうと、問題が見えにくいし何の解決にもならない。
高木浩光氏のようなやり方(良し悪しは別)に対する応対マニュアルのような物を用意する人の問題もあるね。
Re:告知は変更されたようです。 (スコア:0)
過去に問い合わせていたという人 [hatena.ne.jp]によると、「仕様です」という回答だったそうですし。
貴重な情報ありがとうございます (スコア:0)
担当部署で話し合い、後ほど回答させていただきます。
今後もお気づきの点がありましたらどうぞよろしくお願いいたします」
ってのは常套句なのにそれを言えないのは、役に立たない方向性のプライドがあったからでは。
馬鹿としかいいようがない。そういう奴は他人の情報を聞かないからろくなことしない。
サイボウズ (スコア:2, 参考になる)
Re:サイボウズ (スコア:0)
だいたい NS総研って、例の office の一味つーか、お友達連中でしょ。(office っつっても河合一穂被告の方)
まぁ、そんなレベルの人たちの話っつーことだ。
Re:サイボウズ (スコア:0)
じゃあjbeefのお友達連中でもあるってこと?
ケータイのセッション管理が手抜きな件について (スコア:2, 興味深い)
闇改修でも良いので、直してください。 > サ社担当者殿
怖くてケータイからのアクセスを開放できなくて困ってます。
よろしくお願いします。
閉鎖空間 (スコア:2, 興味深い)
実際に、嫌がらせ目的でやられました。
仕事がまともに進められない、ちょっとしたことで騒ぐ人がいまして、今回もこちら側が穴拭きをやったのですが。
Webで数日で作り上げる必要があって、間に合わないことはわかってました。
なので、機能を少しずつあげようという形にしたのですが。
Webで公開して数日して、社内でWebの問題点で誹謗中傷してきました。そこだけでは満足しなかったので、2chで内部事情をばらしまくりました。そのときからWebへの攻撃がひどくて、攻撃があるたびに社内で批判メールをおくりまくるという人間がいました。
その上、被害者面して、他の板でもワンワン吠えまくって、噛み付いたりしてあばれていたようですが。
最終的には社内全員に無視されましたけどね。
そして逆切れして、特定の人を誹謗中傷へとコテハンで騒いでという流れに。
社内の人間であっても注意するべきなんだけどね。
ほかには、社内事情に詳しい人を意図的にヘッドハントして、そこから得られる情報を利用して妨害なんてのもやられたこともあるし。
Re:閉鎖空間 (スコア:0)
内部セキュリティ対策しなきゃいけない段階だというのに、
http://www.caj.co.jp/press/2003/10/research.htm [caj.co.jp]
情報を管理するシステムのベンダーに、報告不足という脆弱性があっちゃ始まりませんね。
Re:閉鎖空間 (スコア:0)
その事自体の必要性は否定しませんが対策が
>情報を管理するシステムのベンダーに、報告不足という脆弱性がない
とは、特に元コメントで例示されている社内のトラブルメイカーに対しても、
高木氏の想定している運用条件においても、有効性がとぼしく、
ちょっとこじつけがましいように思います。
脆弱性の認識がユーザ想いで報告不足が無い事は、望ましいことというのは間違いがないのですけど。
会社に損害を与えても構わないと言う動機の持ち主に、すでにアクセス権をあたえている。
システムの脆弱性をつくような手順を踏む必要が無い相手に、
Re:閉鎖空間 (スコア:0)
サイボウズとは関係ないですよ。
社内のイントラであろうが、インターネットに接続されたイントラであろうが、甘く考えると攻撃されますよという意味でとってもらえればいいだけです。
イントラであっても、VPNの拠点がどうしても多いため、インターネットに接続しなければならないケースもあるかと思います。
予算の問題とか、運用の問題をも含めて。
ひどいケースはIDとパスワードを他の人に教えちゃう問題もあったし。
# いまだにセキュリティ観念の薄い企業も多いのが事実ですが。
Webグループウェアってこんなの多いの? (スコア:2, 参考になる)
Re:Webグループウェアってこんなの多いの? (スコア:1)
も置いておきます。
純粋に実際の被害の期待値として (スコア:2, 興味深い)
と、
「セキュリティホールを内緒にしておいて、そのせいで、多くのユーザがセキュリティホールを放置した場合」
で、実際にどちらが被害の期待値としては大きいのか調査した研究ってないのかな。
実際には、ソフトのシェアとか、セキュリティホールの質とか、あるいは、ソフトウェア更新の難易度などがパラメータになって、単純に結論づけるのは難しいのだろうけど。
まあもちろん、原則的には、情報は広く行き渡らせて、かつ、多くのユーザがセキュリティホールを放置することがないような更新の仕組みをきちんと用意するってのが一番大事なのは間違いないんですが。
Re:純粋に実際の被害の期待値として (スコア:0)
また「広くセキュリティホールを告知してクラッカーにも情報を行き渡らせた場合」についてですが、普通ならセキュリティホールを塞いでから一般に告知するもんです。
社風? (スコア:1, おもしろおかしい)
プライバシーや安全性軽視は社風なのかと思った。
Re:社風? (スコア:2, 興味深い)
Re:社風? (スコア:1, 興味深い)
文字通り社風か。
Re:社風? (スコア:0, おもしろおかしい)
Re:社風? (スコア:0)
どういう脆弱性があったのが、どう直ったのですか?
Re:社風? (スコア:0, フレームのもと)
Re:社風? (スコア:2, 興味深い)
指摘されるまで改良しない、という態度では、ユーザーのプライバシーを軽視しているといわれても仕方がない。
Re:社風? (スコア:1, 興味深い)
Oliverさんへ (スコア:1, おもしろおかしい)
ヤバいのは知らんぷり? (スコア:0)
> 第三者から攻撃され得る脆弱性については告知しない
> (更新履歴やFAQには書いておくが積極的に知らせることをしない)
> という方針
ナニソレ? どうでもいいものだけ表面的に告知して、
本当に危険なものは知らんぷり?
ユーザーは気づかずに使い続けることを推奨するってこと?
影響範囲 (スコア:0, 興味深い)
うちの場合は事務部門である程度メンテできる必要があるという理由もあり,WebサーバはIISで作ってしまっています。 Webサーバのログはとっていて,外部からのアクセスは許していないので(外部から利用する一部ユーザはSSHでトンネルを掘って使用しています)今回の更新は見送ろうと思います。
今回の件では微妙にサイボウズ担当者に同情してしまいました。この手のソフトはそもそもイントラネット内で閉じた使い方を想定して作っているでしょうから。
インターネットからイントラネットとしてのサイボウズシリーズにアクセスできてしまう, まずいシステム構築の仕方をするユーザが多いことが本当の問題かと。
Re:影響範囲 (スコア:4, 興味深い)
んーでも、マニュアルにはインターネットでの利用を想定した説明があるようですよ。
それなのに、イントラネットでの使用しか想定していなかった、なんて言い訳は通じないのではないでしょうか。
Re:影響範囲 (スコア:1)
Re:影響範囲 (スコア:0)
#ログイン画面信用せずに、ログインの前にBASIC認証もさせる設定にしておいてよかった
Re:影響範囲 (スコア:2, 興味深い)
http://takagi-hiromitsu.jp/diary/fig/20060901/1.png [takagi-hiromitsu.jp]
Re:影響範囲 (スコア:1, 興味深い)
まずい構築したユーザがいるって点には同意だけど、インターネットだろうがイントラネットだろうがネットワークで繋がるんだから、そこを想定した設計になってないのはやっぱり問題だろうなぁ。
Re:影響範囲 (スコア:0)
それはやばいんじゃないの? 高木氏の日記の続編 [takagi-hiromitsu.jp]のここ↓読んだ?
feedpath (スコア:0)
Cybozu Office の中の人は, 優秀な技術者の集団らしいラボからも相手にされず, モチベ下がりまくりなんでしょうな.
これじゃあ, 必然的に製品品質にもその悪影響が現れざるを得ないワケで. ある意味, 同情を禁じ得ません. ( 棒読み
Re:feedpath (スコア:0)
大陸系のロボット並みに無意味な頻度で巡回しまくるし、gzip転送にも対応してないし。
他のロボットに比べると一世代は遅れている印象です。
Re:サイボウズ終わったな (スコア:5, おもしろおかしい)
このあたり [kokuyo.co.jp]などいかがでしょう。
省電力性、堅牢性、とても高いと思います。
情報漏えいの脆弱性については、オフィスの
セキュリティ事情に影響されますが、
インターネットから勝手にアクセスして
内容を読み取られたり改ざんされるといった事故は
非常に稀であると思われます。
Microsoft Office Groove とか? (スコア:1)
あえて /.J で M$ の製品を挙げてみる。
あ、でもこれ(も)買収製品だから。
オプソなやつだとなにがいいの?
うちの部署は部署内 Wiki で事足りてる(笑
屍体メモ [windy.cx]
Re:Microsoft Office Groove とか? (スコア:0)
Re:Microsoft Office Groove とか? (スコア:2, 参考になる)
まずIEじゃないと全く使えません。IEだとWindowsのワードパッド(リッチテキストエディタ)風の画面で装飾付きテキストを入力できるのですが、それ以外のブラウザではHTMLタグを手入力する羽目になります。Wiki以下です。
バックエンドにMS SQL Server(Expressも可)が必要です。
例えばPukiwikiにはかなりの数のプラグインがありますし、自分でも開発できます。SharePointではそうはいきません(MS VisualStudioとOffice開発パックがあればできるかも←未確認)
こいつはMS Ofiiceとの連携がウリの一つです。でも、それを使用するためにはOfficeをインストールする必要がありますし、本格的に使うためにはSharePoint Portal Serverを購入する必要があります。
要するにこれは、Officeの拡張です。Webブラウザ用のWebアプリケーションではなく、Office文書をみんなで活用するための仕組みなのです。
Re:Microsoft Office Groove とか? (スコア:1)
SharePointの問題は、事実上Office文書の共有とブラウザによる閲覧が主目的なとこです。予定表とか文書の編集もブラウザ上でやるより、Officeに持ってきてやった方がよっぽど手っ取り早い。要するにグループウェアとしての機能がかなり足りないように思えます。
サイボウズに関しては私は全く知らないのです。展示会で見かけた程度。ちなみにうちの会社はPukiWikiを愛用してます。IEは極力使用しないことになってるのですが、そういう会社は結構あるのではないですか?
Re:サイボウズ終わったな (スコア:1, 参考になる)