More Related Content Similar to セキュリティ品質向上に向けたサイボウズの取り組み (20) セキュリティ品質向上に向けたサイボウズの取り組み2. 自己紹介
• 伊藤彰嗣(@springmoon6)
• グローバル開発本部 品質保証部 セキュリティチーム
• サイボウズの CSIRT(Cy-SIRT)で窓口(PoC)を担当(兼務)
• 経歴
• 2006年 新卒入社
• 2009年 サイボウズ Garoon 品質保証責任者
• 2011年 cybozu.com 品質保証責任者
• 2011年 Cy-SIRT 立ち上げ
• 2014年 脆弱性報奨金制度運営
• 2016年 セキュリティキャンプ講師
Copyright (C) Cybozu,Inc. 2
3. Cy-SIRT
• サイボウズの CSIRT
• Computer Security Incident Response Team
Copyright (C) Cybozu,Inc. 3
https://www.cybozu.com/jp/features/mana
gement/cysirt.html
https://www.cybozu.com/jp/features/mana
gement/cysirt.html
4. 2つの役割
• Cybozu,Inc. Product Security Incident Response Team
• 製品に関する脆弱性情報を取り扱うチーム
Cy-PSIRT
• Cybozu,Inc. Computer Security Incident Response Team
• インシデント対応を行うチーム
Cy-SIRT
Copyright (C) Cybozu,Inc. 4
7. Copyright (C) Cybozu,Inc. 7
外部からの
脆弱性報告
社内からの
脆弱性報告
脆弱性情報の
受付
脆弱性情報の
検証
脆弱性
認定?
改修
回避策の配布
脆弱性情報の
公開
報告者に連絡
脆弱性情報公開フロー 脆弱性対応フロー
ISO/IEC 29147 より引用
No
Yes
12. 制度の推移
170 件
118 件
95 件
729 万円
446 万円
304 万円
0
100
200
300
400
500
600
700
800
0
20
40
60
80
100
120
140
160
180
2014 年 2015 年 2016 年
認定件数 報奨金額
Copyright (C) Cybozu,Inc. 12
16. PDF Formcalc Attack
Copyright (C) Cybozu,Inc. 16
https://dl.dropboxusercontent.com/u/13018058/poc/appsec.pdf
セッション
被害サイト 攻撃者被害者
APPSEC EU 2015 で公開された攻撃手法
19. 問題点
Copyright (C) Cybozu,Inc. 19
ファイルがアップロードされている Origin で
任意のリクエストを発行することができる
http://insert-script.blogspot.jp/2015/05/pdf-mess-with-web.html
20. タイムライン
Feb Mar Aug Sep Oct Nov
Copyright (C) Cybozu,Inc. 20
第一報受信
評価開始
Adobe 社
と相談
脆弱性認定
せず
議論の結果
認定
評価について
有識者と議論
制限事項に
決定
情報公開
受領から対応完了までに 9 カ月
21. Adobe 社の見解
Copyright (C) Cybozu,Inc. 21
In the absence of content-injection attacks (or arbitrary file upload attacks) in a
domain, we feel the path for an attacker to abuse CVE-2014-8453 has been
closed. Earlier, the attacker could use redirects (in a domain he controlled) to trick
Reader into thinking a cross-origin PDF was same-origin with a victim domain, and
that attack vector has been resolved.
From our perspective, website owners must realize that PDF is active content, and
serving user-uploaded/malicious PDFs from a non-throwaway domain is effectively an
XSS (just like hosting an arbitrary/malicious HTML).
PDF は Active Contents であることを認識し、
ユーザーがアップロードする PDF ファイルをプログラムが
動作するオリジンには配置しないようにしなければならない。
24. Copyright (C) Cybozu,Inc. 24
外部からの
脆弱性報告
社内からの
脆弱性報告
脆弱性情報の
受付
脆弱性情報の
検証
脆弱性
認定?
改修
回避策の配布
脆弱性情報の
公開
報告者に連絡
脆弱性情報公開フロー 脆弱性対応フロー
ISO/IEC 29147 より引用
No
Yes
25. 1. 海外からの報告
• スコープ外にある運用中の Web サイトのアカウントを
窃取することに成功したとの報告を受けた
各国の法律の違い
• 「報告者と協調する」ことが最優先であることを社内に周知
• 海外の方が参照できるように、規約の英語化を進める
解決策
Copyright (C) Cybozu,Inc. 25
脆弱性情報の
受付
31. 複雑な問題の例
• Reflected File Download
• https://drive.google.com/file/d/0B0KLoHg_gR_XQnV4RVhlNl96MHM/view
• CSV Injection with the CVS export feature
• https://hackerone.com/reports/72785
• CSV Excel Macro Injection
• https://github.com/cybozu/bugbounty/blob/master/scope/CEMI.md
• PDF Formcalc Attack
• http://insert-script.blogspot.jp/2014/12/multiple-pdf-vulnerabilites-text-
and.html
Copyright (C) Cybozu,Inc. 31
いずれも外部の評価事例が少なく、評価コストが高い
39. 2. 報奨金獲得ルールを明文化
Copyright (C) Cybozu,Inc. 39
事前にルールを定め公開すること
対象となる
サービス
脆弱性
認定ルール
脆弱性
評価ルール
報奨金獲得に関するガイドライン
http://cybozu.co.jp/company/security/bug-bounty/guideline.pdf
43. 4. 規約の設計
Copyright (C) Cybozu,Inc. 43
規約で抑えるべきリスクを最小限にする
協調的な
脆弱性公開が
破たん
ライセンスの
商用利用
収集した
個人情報の漏洩
規約改定時の
通知コスト
どういう目的でやるものかを明確にすること
48. Full Disclosure 型の Bug Bounty
Copyright (C) Cybozu,Inc. 48
https://www.openbugbounty.org/about/
外部からの脆弱性情報を受け付ける体制を整え、
情報公開しておくことが重要
52. 参考文書
• ISO/IEC 29147
Information technology — Security techniques —
Vulnerability disclosure
• ISO/IEC 30111
Information technology — Security techniques —
Vulnerability handling processes
Copyright (C) Cybozu,Inc. 52