パスワードを忘れた? アカウント作成
13290 story

高木浩光氏、サイボウズは危険な脆弱性を告知しないと指摘 67

ストーリー by mhatta
本当にくさいものには蓋 部門より

usbeef曰く、"高木浩光@自宅の日記にて サイボウズが再び「闇改修」をしたので電話で抗議したが無駄骨だった とセンセーショナルなタイトルの日記。 こちらの ITproの記事にあるようにサイボウズ製品に3つの脆弱性が発見 されたとのことだが、 サイボウズ側での脆弱性についての告知では、 SQLインジェクションの脆弱性とディレクトリ トラバーサルの脆弱性に ついてだけが告知されており、ITproの記事での 「ログイン・アカウントを持たないユーザーに対して、Office 6に 登録されているユーザー/グループ情報を公開する恐れがある」という 部分への告知が欠落していると、高木氏は指摘している。

高木氏としての結論としては、サイボウズ社はセキュリティポリシーに よって、危険な状況が少ない脆弱性については告知するが、 第三者から攻撃され得る脆弱性については告知しない (更新履歴やFAQには書いておくが積極的に知らせることをしない)という 方針で、今回も、過去もそうしてきたし、今後もそうしていくつもり ということらしい。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • あーあ (スコア:5, すばらしい洞察)

    by Elbereth (17793) on 2006年09月02日 11時53分 (#1010139)
    うちの会社も同社の製品使ってまして、まさに以下の状況に。


    >私: 私としては、SQLインジェクションもディレクトリトラバーサルも、
    >緊急事態だとは思わなかったのですよ。なぜなら、うちのサイボウズを
    >使っている他のユーザたちが、ログインしたうえでSQLインジェクションや
    >ディレクトリトラバーサルで攻撃するなんてことは、ないだろうと思ったからです。
    >サ: はい。
    >私: だから、最新版に入れ替える必要はないと思いましたよ。
    >ところが、日経BPの記事を読むと、ログインしていなくても
    >ユーザの名前が見えてしまう別の脆弱性もあるのだと。
    >これで初めて、緊急事態だと思いましたが、あなたがたが
    >告知しないから、この事態に気づかないままになるところでしたよ?
    (高木浩光@自宅の日記より引用)


    イントラネットでの使用だから、外部から攻撃を受ける可能性は低い。
    (うちでサイボウズ製品使っていることを知っていて、その鯖のIPアドレスなり
    URLを把握しているなり取得するなどしててユーザーに攻撃プログラムを
    実行させるというのはそれなりに面倒)
    だから、緊急で対応する必要はなく、そのうちヒマを見て対応すればいいでしょう。
    と、セキュリティー部門責任者(非技術者)に回答したわけで。

    ----

    サイボウズ社の対応を一言で表現するなら「泥縄」。

    全く改善しないよりはマシだけど、高木氏に指摘されたときに
    素直にごめんなさい改善しますってやればいいのに
    そこで突っぱねておいて、騒ぎになってからあわてて取り繕うのは
    非常に見苦しい。

    まず、脆弱性をユーザーが分かるように告知しないとした
    セキュリティポリシーがクソ。
    次に、「お客様対応責任者」が自分の権限において高木氏の
    提案を却下することにしたなら、この人も無能。
    ただの会社のスピーカーはいらない。
    他の責任部署とかけあってやっぱダメとなったなら、会社がクソ。

    こんなんだと、多分またそのうち同じことをやるんじゃないですかね。
    さらに、サイボウズ社の言っていることはあまり信用できないから
    ホントのところはもっとヤバい修正を履歴にすらのせずに
    内緒でしているかも知れないって疑いもでてきますわな。
    • Re:あーあ (スコア:3, 参考になる)

      by Elbereth (17793) on 2006年09月02日 12時02分 (#1010147)
      ちなみに、こんなところでサイボウズ製品使っていること漏らしてんなよとか
      いうツッコミはナシの方向で。
      親コメント
    • Re:あーあ (スコア:0, フレームのもと)

      >ログインしていなくてもユーザの名前が見えてしまう

      ログイン画面の名前メニューにずらーっと(w
      サイボウズなページが外から見えるようになってる会社もあるし(w
  • /.-edされてる (スコア:4, 参考になる)

    by densuke (113) on 2006年09月02日 11時23分 (#1010096) 日記
    先生のページが/.-edされちゃって503が出やすくなってる見たいですね。みなさん少しゆとりをもってアクセスしましょう。

    この件には続きがあって、昨日対応が少し入ったみたいです。
    http://takagi-hiromitsu.jp/diary/20060901.html#p01 [takagi-hiromitsu.jp]
    --
    -- やさいはけんこうにいちば〜ん!
  • by Anonymous Coward on 2006年09月02日 22時03分 (#1010593)
    以前にも『大企業でも使える』と銘打ったサイボウズガルーンで、ログイン後のクッキーを書き換えると好きなユーザに成り済まし放題って脆弱性がありました。

    というか、今もある。
    これについてはサイボウズも認識しているはずなのですが放置プレイのままです。

    Login用のクッキーはエンコードしてあるんだけど、アカウントを渡すパラメータが平文のままで、こいつを偽装すると成り済ましが可能ってのはバグとかミスとかって過失の問題ではなくデザインとかセキュリティをないがしろにする姿勢の問題なんじゃないかと。

    #ガルーンを使っている人は試してみよう!

    そう言う風に姿勢の問題だと思えば、今回の対応なんかも、なるほどって納得できるよね。

    ガルーン2になって直っている風情なんですが、2は2で製品のラインナップ上の問題がいろいろあるので簡単には乗り換えられないし。
    • by Anonymous Coward on 2006年09月03日 0時16分 (#1010684)
      シングルサインオンの機能を使っているときだけかも。
      というか、シングルサインオンを使ってこの脆弱性があるってことだと他のシステムへも問題が波及するわけで、ある意味もっと大問題。

      平文で渡され、PC側で管理されるクッキーを認証情報として利用しようってのがそもそもの大間違い。

      でも、きっとこういうのってなかなか心入れ替えないんだろうなぁ。
      親コメント
    • by Anonymous Coward
      >>これについてはサイボウズも認識しているはずなのですが放置プレイのままです。

      これで結構な保守料取ってるんだからいい商売だよな。

      『保守料は頂きます』、『でもその脆弱性は危険ではありません』とか『社内で使うものだから緊急の修正の必要はありません』じゃ詐欺だよ。

      #やっぱ、高くても Notes にすればよかった。
  • by kfsh (12364) on 2006年09月02日 11時22分 (#1010092) ホームページ 日記
    新しい告知 [cybozu.co.jp]ではユーザーリストが取得できる脆弱性が入っています。

    単純にサポート部門の権限では安易に要求を受けることができなかっただけではないかな?
    • 権限のある人間に回せなかったのはやっぱり無能。日記の「一般的に言うと~」以降参照。
      • by Anonymous Coward on 2006年09月02日 14時53分 (#1010297)
        どうやら中の人はナマグサボウズだったようですね。
        親コメント
      • では、告知が変更されたから無能でなくなったのか?... って話をしたいのでなく。

        視点としては権限の有る人間の問題を見たほうが良いので、権限があるのに情報を受け取れない人は誰だったのか? なぜ情報が入手できないのか? ですね。
        回せなかったのはやっぱり無能といってしまうと、問題が見えにくいし何の解決にもならない。
        高木浩光氏のようなやり方(良し悪しは別)に対する応対マニュアルのような物を用意する人の問題もあるね。
        親コメント
    • 「貴重な情報ありがとうございます。この件につきましては
      担当部署で話し合い、後ほど回答させていただきます。
      今後もお気づきの点がありましたらどうぞよろしくお願いいたします」
      ってのは常套句なのにそれを言えないのは、役に立たない方向性のプライドがあったからでは。
      馬鹿としかいいようがない。そういう奴は他人の情報を聞かないからろくなことしない。
  • サイボウズ (スコア:2, 参考になる)

    by Anonymous Coward on 2006年09月02日 11時42分 (#1010116)
    サイボウズがこの前買収したNS総研って自分のグループのサイトがクラックされると自社発行の改竄情報に載せない仕様があるようで。Wikipedia [wikipedia.org]
    • by Anonymous Coward
      > サイボウズがこの前買収したNS総研って自分のグループのサイトがクラックされると自社発行の改竄情報に載せない仕様があるようで。

      だいたい NS総研って、例の office の一味つーか、お友達連中でしょ。(office っつっても河合一穂被告の方)

      まぁ、そんなレベルの人たちの話っつーことだ。
      • by Anonymous Coward
        > だいたい NS総研って、例の office の一味つーか、お友達連中でしょ。(office っつっても河合一穂被告の方)

        じゃあjbeefのお友達連中でもあるってこと?
  • by Anonymous Coward on 2006年09月02日 13時43分 (#1010230)
    以前からご連絡差し上げております件について、
    闇改修でも良いので、直してください。 > サ社担当者殿

    怖くてケータイからのアクセスを開放できなくて困ってます。

    よろしくお願いします。
  • 閉鎖空間 (スコア:2, 興味深い)

    by Anonymous Coward on 2006年09月02日 15時04分 (#1010303)
    社内の関係者であっても、問題を発生する人はいるとおもいますよ。
    実際に、嫌がらせ目的でやられました。

    仕事がまともに進められない、ちょっとしたことで騒ぐ人がいまして、今回もこちら側が穴拭きをやったのですが。
    Webで数日で作り上げる必要があって、間に合わないことはわかってました。
    なので、機能を少しずつあげようという形にしたのですが。
    Webで公開して数日して、社内でWebの問題点で誹謗中傷してきました。そこだけでは満足しなかったので、2chで内部事情をばらしまくりました。そのときからWebへの攻撃がひどくて、攻撃があるたびに社内で批判メールをおくりまくるという人間がいました。
    その上、被害者面して、他の板でもワンワン吠えまくって、噛み付いたりしてあばれていたようですが。
    最終的には社内全員に無視されましたけどね。
    そして逆切れして、特定の人を誹謗中傷へとコテハンで騒いでという流れに。

    社内の人間であっても注意するべきなんだけどね。

    ほかには、社内事情に詳しい人を意図的にヘッドハントして、そこから得られる情報を利用して妨害なんてのもやられたこともあるし。
    • by Anonymous Coward
      同意。

      内部セキュリティ対策しなきゃいけない段階だというのに、
      http://www.caj.co.jp/press/2003/10/research.htm [caj.co.jp]

      情報を管理するシステムのベンダーに、報告不足という脆弱性があっちゃ始まりませんね。
      • by Anonymous Coward
        >内部セキュリティ対策しなきゃいけない
        その事自体の必要性は否定しませんが対策が

        >情報を管理するシステムのベンダーに、報告不足という脆弱性がない
        とは、特に元コメントで例示されている社内のトラブルメイカーに対しても、
        高木氏の想定している運用条件においても、有効性がとぼしく、
        ちょっとこじつけがましいように思います。
        脆弱性の認識がユーザ想いで報告不足が無い事は、望ましいことというのは間違いがないのですけど。

        会社に損害を与えても構わないと言う動機の持ち主に、すでにアクセス権をあたえている。
        システムの脆弱性をつくような手順を踏む必要が無い相手に、
        • by Anonymous Coward
          元ACの中の人です。
          サイボウズとは関係ないですよ。

          社内のイントラであろうが、インターネットに接続されたイントラであろうが、甘く考えると攻撃されますよという意味でとってもらえればいいだけです。

          イントラであっても、VPNの拠点がどうしても多いため、インターネットに接続しなければならないケースもあるかと思います。
          予算の問題とか、運用の問題をも含めて。

          ひどいケースはIDとパスワードを他の人に教えちゃう問題もあったし。
          # いまだにセキュリティ観念の薄い企業も多いのが事実ですが。
  • by Anonymous Coward on 2006年09月02日 15時25分 (#1010310)
    同種製品の過去の脆弱性話を置いときますね。
    • iOfficeとdesknet'sにパスワードなしでログインできるセキュリティ・ホール [nikkeibp.co.jp](2002/07/29)
      ネオジャパンへ約10カ月前の2002年5月22日に問題を報告。その約半年後の2002年12月にdesknet'sでは欠陥が修正された。しかし,その時点ではiOfficeV3の欠陥は修正されず,desknet'sについてもセキュリティ問題の告知がなされていないため,少なくない数のユーザーが,最新版へ乗り換える必要性を認識しておらず,旧バージョンのまま使用していると考えられた。数回にわたる問い合わせの後,ネオジャパンより2003年3月 14日,「来週中に公開する」という回答があった。しかし,3月24日朝にいたっても告知は行われなかった。
    • 「desknet's」に3回目のクロスサイトスクリプティングの脆弱性 [mycom.co.jp](2005/6/6)
  • 「広くセキュリティホールを告知してクラッカーにも情報を行き渡らせた場合」
    と、
    「セキュリティホールを内緒にしておいて、そのせいで、多くのユーザがセキュリティホールを放置した場合」
    で、実際にどちらが被害の期待値としては大きいのか調査した研究ってないのかな。

    実際には、ソフトのシェアとか、セキュリティホールの質とか、あるいは、ソフトウェア更新の難易度などがパラメータになって、単純に結論づけるのは難しいのだろうけど。

    まあもちろん、原則的には、情報は広く行き渡らせて、かつ、多くのユーザがセキュリティホールを放置することがないような更新の仕組みをきちんと用意するってのが一番大事なのは間違いないんですが。
    • 一般論を言っているのでしょうが、今回は「セキュリティホールを内緒にしておい」たわけではなく、見えにくい場所で告知されていました。

      また「広くセキュリティホールを告知してクラッカーにも情報を行き渡らせた場合」についてですが、普通ならセキュリティホールを塞いでから一般に告知するもんです。

  • 社風? (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2006年09月02日 11時20分 (#1010087)

    プライバシーや安全性軽視は社風なのかと思った。

    • Re:社風? (スコア:2, 興味深い)

      by Torisugari (25483) on 2006年09月02日 11時46分 (#1010125) 日記
      私の日記が追いついていませんが、新バージョン(0.6)ではプライバシー漏れもバックドアも直っています。
      親コメント
      • Re:社風? (スコア:1, 興味深い)

        by Anonymous Coward on 2006年09月02日 11時53分 (#1010136)
        バックドアの存在をFAQに書いて、アップデートを積極的に促さない(「セキュリティーホールがあるので必ずアップデートしてください」とは言わない)姿勢は、高木氏の指摘と合致しているな。

        文字通り社風か。
        親コメント
        • Re:社風? (スコア:0, おもしろおかしい)

          by Anonymous Coward
          こういうやりとりを見ていると、スラッシュドットってのは、無い方がいいのだろうな、と思ってしまう。
      • by Anonymous Coward
        バックドア?があったんですか?

        どういう脆弱性があったのが、どう直ったのですか?
    • Re:社風? (スコア:0, フレームのもと)

      by Anonymous Coward
      それはサイボウズじゃなくてラボですね。ちなみに、既に「ログは取っていない」と言っているにもかかわらず、「軽視」というのは、どういうことなのでしょうか。
      • Re:社風? (スコア:2, 興味深い)

        by Anonymous Coward on 2006年09月02日 19時54分 (#1010502)
        不必要にユーザーのプライバシーを垂れ流すのが軽視でなくてなんなんだ?現に新バージョンでは直っているんだから、「出来るのにやらなかった」ことが実証されてしまった。

        指摘されるまで改良しない、という態度では、ユーザーのプライバシーを軽視しているといわれても仕方がない。
        親コメント
      • Re:社風? (スコア:1, 興味深い)

        by Anonymous Coward on 2006年09月02日 23時45分 (#1010655)
        ここ [sakura.ne.jp]をコメント欄まで読むと、この種の話がよくわかると思いました。
        親コメント
  • Oliverさんへ (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2006年09月02日 22時54分 (#1010620)
    このトピでモデしたやつのIPを公表すると、楽天みたいにサイボウズの偉い人が謝罪するようなことになったりしませんか?
  • by Anonymous Coward on 2006年09月02日 11時20分 (#1010085)
    > 危険な状況が少ない脆弱性については告知するが、
    > 第三者から攻撃され得る脆弱性については告知しない
    > (更新履歴やFAQには書いておくが積極的に知らせることをしない)
    > という方針

    ナニソレ? どうでもいいものだけ表面的に告知して、
    本当に危険なものは知らんぷり?

    ユーザーは気づかずに使い続けることを推奨するってこと?
  • 影響範囲 (スコア:0, 興味深い)

    by Anonymous Coward on 2006年09月02日 11時29分 (#1010105)
    サイボウズOffice 6を使用しているので,うちの対応をどうしようかと思いながら読みました。
    うちの場合は事務部門である程度メンテできる必要があるという理由もあり,WebサーバはIISで作ってしまっています。 Webサーバのログはとっていて,外部からのアクセスは許していないので(外部から利用する一部ユーザはSSHでトンネルを掘って使用しています)今回の更新は見送ろうと思います。

    今回の件では微妙にサイボウズ担当者に同情してしまいました。この手のソフトはそもそもイントラネット内で閉じた使い方を想定して作っているでしょうから。
    インターネットからイントラネットとしてのサイボウズシリーズにアクセスできてしまう, まずいシステム構築の仕方をするユーザが多いことが本当の問題かと。
    • Re:影響範囲 (スコア:4, 興味深い)

      by ddc (14170) on 2006年09月02日 11時42分 (#1010117) 日記
      >今回の件では微妙にサイボウズ担当者に同情してしまいました。この手のソフトはそもそもイントラネット内で閉じた使い方を想定して作っているでしょうから。

      んーでも、マニュアルにはインターネットでの利用を想定した説明があるようですよ。
      それなのに、イントラネットでの使用しか想定していなかった、なんて言い訳は通じないのではないでしょうか。
      親コメント
      • by Sithgunner (6190) on 2006年09月05日 16時21分 (#1012225)
        ネットアプリの使い方を先に想定して手を抜いてるようじゃ、どうしようもないな。
        親コメント
      • by Anonymous Coward
        少なくとも3のころはイントラのみを想定してたようですが、6は明らかにインターネットでの公開も考慮された作りになってます。

        #ログイン画面信用せずに、ログインの前にBASIC認証もさせる設定にしておいてよかった
    • Re:影響範囲 (スコア:2, 興味深い)

      by Anonymous Coward on 2006年09月02日 17時45分 (#1010398)
      >この手のソフトはそもそもイントラネット内で閉じた使い方を想定して作っているでしょうから。

      http://takagi-hiromitsu.jp/diary/fig/20060901/1.png [takagi-hiromitsu.jp]
      親コメント
    • Re:影響範囲 (スコア:1, 興味深い)

      by Anonymous Coward on 2006年09月02日 14時04分 (#1010248)
      >インターネットからイントラネットとしてのサイボウズシリーズにアクセスできてしまう, まずいシステム構築の仕方をするユーザが多いことが本当の問題かと。

      まずい構築したユーザがいるって点には同意だけど、インターネットだろうがイントラネットだろうがネットワークで繋がるんだから、そこを想定した設計になってないのはやっぱり問題だろうなぁ。
      親コメント
    • by Anonymous Coward
      >外部からのアクセスは許していないので(・・・)今回の更新は見送ろうと思います

      それはやばいんじゃないの? 高木氏の日記の続編 [takagi-hiromitsu.jp]のここ↓読んだ?

      ※上記対象製品をイントラネット内でのみ運用している場合に、外部(インターネット網)から攻撃を受けることはございません。

      という(赤字で強調された)記述だが、これは本当だろうか? (・・・)
      今回の脆弱性の詳細を知らないのでわからないが、SQLインジェクションについては、「データベ

  • by Anonymous Coward on 2006年09月02日 17時22分 (#1010386)
    というか, 誰も, 今のサイボウズが Web 2.0 とか feedpath とかに夢中で, レガシーな Cybozu Office がないがしろにされているということを指摘しないのかな ?
    Cybozu Office の中の人は, 優秀な技術者の集団らしいラボからも相手にされず, モチベ下がりまくりなんでしょうな.
    これじゃあ, 必然的に製品品質にもその悪影響が現れざるを得ないワケで. ある意味, 同情を禁じ得ません. ( 棒読み
    • by Anonymous Coward
      その夢中のfeedpathのロボットはヒドいですよ。

      大陸系のロボット並みに無意味な頻度で巡回しまくるし、gzip転送にも対応してないし。
      他のロボットに比べると一世代は遅れている印象です。
typodupeerror

日本発のオープンソースソフトウェアは42件 -- ある官僚

読み込み中...