Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Lessons (to be) Learned from Handling OpenSSL Vulnerabilities

792 views

Published on

オープンソースカンファレンス福岡2014の講演資料です

Published in: Software
  • Be the first to comment

Lessons (to be) Learned from Handling OpenSSL Vulnerabilities

  1. 1. Lessons (to be) Learned from Handling OpenSSL Vulnerabilities 2014年年11⽉月22⽇日 +1$35コーディネーションセンター 情報流流通対策グループ 脆弱性解析チームリーダー 久保 正樹
  2. 2. 年年に +1$35$$がハンドリングした 0QFO44-の脆弱性 を振り返る Copyright©2014 JPCERT/1 CC All rights reserved.
  3. 3. OpenSSL とは ! 暗号化の機能(SSL/TLS/DTLS)を提供するライブラリ ! オープンソース ! Apache License 1.0 ! LibreSSL (OpenBSD) と boringssl (Google) に最近 フォーク ! 多くのサーバで利利⽤用されている ! ⼀一部のクライアントでも使⽤用されている — Android (SSLSocketFactory等), Chrome for Android 等 Copyright©2014 JPCERT/CC All rights reserved. 2
  4. 4. SSL/TLS 関連の脆弱性 (2014) ! OpenSSL 関連 Copyright©2014 JPCERT/CC All rights reserved. 3 4⽉月8⽇日JVNVU#94401838OpenSSL の heartbeat 拡張に情報漏漏えいの 脆弱性 6⽉月6⽇日JVN#61247051OpenSSL における Change Cipher Spec メッセージの処理理に脆弱性 8⽉月11⽇日JVNVU#93614707OpenSSL クライアントにナルポインタ参照の 脆弱性 10⽉月16⽇日JVNVU#98283300SSLv3 プロトコルに暗号化データを解読され る脆弱性(POODLE 攻撃)
  5. 5. SSL/TLS 関連の脆弱性 (2014) ! サーバ証明書を検証しない問題 — JVNで11件公表 — Androidアプリに多数⾒見見つかる ! SslError回避のバッドノウハウ流流布が原因? — USでは、連邦取引委員会(FTC)が問題視して2社を指導 ! 関⻄西オープンソース2014で JPCERT ⼾戸⽥田が講演 — 〜~誰かの失敗を他⼭山の⽯石に〜~脆弱性事例例に学ぶセキュア コーディング「SSL/TLS証明書検証編」 — https://k-of.jp/2014/session/563 Copyright©2014 JPCERT/CC All rights reserved. 4
  6. 6. Copyright©2014 JPCERT/5 CC All rights reserved. 20 5 7 8 8 11 3 3 5 1 4 7 4 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 25 20 15 10 5 0 OpenSSLの脆弱性 (件数) TPVSDFIUUQTXXXPQFOTTMPSHOFXTWVMOFSBCJMJUJFTIUNM
  7. 7. 情報セキュリティ早期警戒パートナーシップ Copyright©2014 JPCERT/CC All rights reserved. 6 発⾒見見者 IPA (受付) JPCERT/CC (調整) 開発者の皆さん 個⼈人 企業 オープンソース コミュニティ JVN (公表) エンドユーザ 企業ユーザ マスメディア SIer などなど CERT/CC NCSC-‐‑‒FI (調整)
  8. 8. 5IF)FBSUCMFFE#VH Copyright©2014 JPCERT/CC All rights reserved. 7
  9. 9. Heartbleed 脆弱性とは ! プロセスメモリ上のTLS 秘密鍵が漏漏洩する問題 ! OpenSSL 1.0.1 が影響を受ける ! Codenomicon の研究者が脆弱性を発⾒見見 — のちに Google も同時に問題を発⾒見見していたことが判明 サーバ Copyright©2014 JPCERT/CC All rights reserved. 8 クライアント 攻撃リクエスト 秘密鍵、認証情報
  10. 10. 時系列列 +1$35 Copyright©2014 JPCERT/CC All rights reserved. 9 4⽉月6⽇日(⽇日) 20:08 NCSC-FI Jussi からメール受信 • 脆弱性の概要 • FI は OpenSSL に通知済み • 2つの依頼 • CVE 割当て • ベンダのリストアップ 時間は65$
  11. 11. 4⽉月7⽇日(⽉月) 16時 電話:NCSC-FI → JPCERT/CC 22:24 CERT/CC が vultures にメール • CVE-2014-0346 を割当て 4⽉月9⽇日(⽔水) 15:46 IIJ から VS⼊入⼒力力 4⽉月11⽇日(⾦金金) 12:48 ⽇日本マイクロソフトからVS⼊入⼒力力 最終的に国内社に⾃自社の対応状況を +7/で公表していただきました 4⽉月8⽇日(⽕火) 08:18 アドバイザリ公表を確認 09:48 CERT/CC アドバイザリ公表の連絡 11:42 CERT/CC 「OpenSSL か Cloudflare が 早く公開してしまったのか?」 15:00 JVN 公開、国内50社に公表通知のメー ル ① ② ③ ④ ⑤
  12. 12. 時系列列 0QFO44- 4⽉月6⽇日(⽇日) 20:08 NCSC-FI Jussi からメール受信 4⽉月8⽇日(⽕火) 00:19 FI が Mark Cox / Ben Laurie に Codenomicon の脆弱性を通知 01:11 OpenSSL コアチームメンバー に情報が展開される • 同⽇日に2組織が同じ脆弱性を発⾒見見し Copyright©2014 JPCERT/CC All rights reserved. 10 • 脆弱性の概要 • FI は OpenSSL に通知済み • 2つの依頼 • CVE 割当て • ベンダのリストアップ 時間は65$
  13. 13. 4⽉月1⽇日 Google → OpenSSL に脆弱性とパッチの連絡 Google → 他のインフラプロバイダにも通知 4⽉月7⽇日 14:56 OpenSSL が Red Hat に通知 15:10 Red Hat が oss-security の distros に情報展開 • 詳細はふせられた • 影響バージョン、9⽇日公開の エンバーゴーに基づき、OpenSSL が詳細 を distro に展開 17:15 SuSE 17:16 Debian 17:49 FreeBSD 19:00 AltLinux 20:30 Ubuntu (リクエストベース) 23:14 Gentoo (リクエストベース) 4⽉月7⽇日(⽉月) 16時 電話:NCSC-FI → JPCERT/CC 22:24 CERT/CC が vultures にメール • CVE-2014-0346 を割当て 4⽉月9⽇日(⽔水) 15:46 IIJ から VS⼊入⼒力力 4⽉月11⽇日(⾦金金) 12:48 ⽇日本マイクロソフトからVS⼊入⼒力力 4⽉月8⽇日(⽕火) 08:18 アドバイザリ公表を確認 09:48 CERT/CC アドバイザリ公表の連絡 11:42 CERT/CC 「OpenSSL か Cloudflare が 早く公開してしまったのか?」 15:00 ていJVN るこ公開と、か国ら内、50公社開に公表通知のメー ル を決定 02:25 OpenSSL がウェブページを アップデート&アドバイザリ準備 03:39 OpenSSL がアドバイザリ公開 ① ② ③
  14. 14. 脆弱性公表について ! 0QFO44-が直接連絡したのは-JOVY%JTUSP社だけ ˋ 3FE)BU 4V4 %FCJBO 'SFF#4% MU-JOVY ˋ 残りの EJTUSPは PTTTFDVSJUZ経由 ! LBNBJ $MPVEBSF 'BDFCPPLには事前にパッチが提供 されていた ˋ (PPHMF経由で連絡が⾏行行っていたと推測される ! 詳しい経緯 ˋ 5IF4ZEOFZ.PSOJOH)FSBMEˊ)FBSUCMFFEEJTDMPTVSF UJNFMJOFXIPLOFXXIBUBOEXIFO Copyright©2014 JPCERT/CC All rights reserved. 11
  15. 15. Lessons Learned ! 調整機関 (JPCERT, CERT/CC, NCSI-FI) は調整相⼿手しか⾒見見 えなかった ! OpenSSL ⾃自⾝身も限られた情報に基づきハンドリング — 前倒し公表は適切切であったといえる Copyright©2014 JPCERT/CC All rights reserved. 12 事前通知リークの 可能性
  16. 16. $$4*OKFDUJPO7VMOFSBCJMJUZ Copyright©2014 JPCERT/CC All rights reserved. 13
  17. 17. CCS Injection 脆弱性とは ! サーバとクライアントが暗号化通信を開始する⼿手順(ハン ドシェイク)の途中で、不不正な信号 (change_cipher_spec)を受け取ると、通信に使わ れる暗号鍵が予測可能なものになる — 通信内容の解読、なりすましに悪⽤用される ! 中間者攻撃が必要 ! レピダムの菊池さんが発⾒見見者 — 『OpenSSLのバグを⾒見見つけた話』 — http://www.iij-ii.co.jp/lab/seminars/ Copyright©2014 JPCERT/CC All rights reserved. 14
  18. 18. Copyright©2014 JPCERT/15 CC All rights reserved. サーバ クライアント CCS Injection 中間者攻撃により 暗号化された通信を 攻撃者に解読される
  19. 19. SSL/TLS のハンドシェイク Copyright©2014 JPCERT/CC All rights reserved. 16
  20. 20. 時系列列 +1$35 Copyright©2014 JPCERT/CC All rights reserved. 17 ⽉月⽇日 ⽔水 *1から届け出の連絡 ⽉月⽇日 ⽊木 発⾒見見者から追加情報 ⽉月⽇日 ⾦金金 発⾒見見者から追加情報 検証詳細情報翻訳開始 ⽉月⽇日 ⽊木 0QFO44-に詳細送付 ⽉月⽇日 ⽊木 発⾒見見者から追加情報 ⽉月⽇日 ⾦金金 発⾒見見者から$35$$にも連絡したとのこと ⽉月⽇日 ⽉月 発⾒見見者から追加情報 パッチ $35$$に連絡 ⽉月⽇日 ⽔水 /$4$'*に連絡 国内約社に概要通知 ⽉月⽇日 ⽊木 ⽉月上旬公開を社に通知 ⽉月⽇日 ⽊木 0QFO44-、/$4$'*アドバイザリ公開 ⽉月⽇日 ⾦金金 +7/公開(XEBZTEBZT)
  21. 21. /$4$'* Copyright©2014 JPCERT/18 CC All rights reserved. +1$35 $35$$ 研究者 レピダム菊池さん *1 ML (oss-distros) -JOVY'SFF#4% 国内社 ハンドリングの実態 CCS Injection 他の研究者 案件 海外社
  22. 22. ハンドリング中に頂いた質問1 Copyright©2014 JPCERT/CC All rights reserved. 19 弊社の製品も対策が必要だが、 OpenSSL からパッチやアドバイザリーは まだ出ていなません。 弊社側でOpenSSLのサイトを⾒見見続ける必要があるの でしょうか。 それとも JPCERT からのアナウンスを待つことにな るでしょうか。
  23. 23. 回答1 OpenSSL のアドバイザリを最短・確実に⼊入⼿手する⽅方法 1. OpenSSL のアドバイザリを地道にウォッチ 2. JPCERT からの JVN 公開通知を待つ 3. oss-security ML を購読 — OpenSSL アドバイザリ公開とほぼ同時にメールが流流れる — 技術ネタのトラフィックがそれなりにあるので、⾒見見落落と さないように気をつけないとダメ JVN では、JPCERT/CC や CERT/CC が調整していない案件で も、脅威度度の⾼高いと判断される脆弱性についてはアドバイ ザリを公開します — ex. POODLE Copyright©2014 JPCERT/CC All rights reserved. 20
  24. 24. ハンドリング中に頂いた質問2 Copyright©2014 JPCERT/CC All rights reserved. 21 早期警戒パートナーシップガイドライン 1 また、+1$35$$は、044に関する事前通知を、開発者コミュニティに加え て、必要に応じて以下へ通知します。 ・044を導⼊入した製品の開発者 ・ディストリビュータ・製品の仕様を決定するサービス提供者(例例:携帯電 話会社) これは、開発者コミュニティによる脆弱性対応が困難でかつ発表もされない 場合に、当該 044を導⼊入した製品の開発者やディストリビュータ、製品の仕 様を決定するサービス提供者は、その事実を知りうる⼿手段がないが、社会的 影響を考慮するとそれらの脆弱性対応が重要であるケースが想定されるため です。 今回の0QFO44-は⽉月にパッチがリリースされるので上記には該当しないと理理解。 情報公開前に脆弱性情報を通知した意図は何でしょう?(普段のフローとは違って ⾒見見えた)
  25. 25. 回答2 ! 044脆弱性の事前通知は、#*/%やQBDIF5PNDBUの 脆弱性でもこれまでやってます ˋ 脆弱性の詳細や検証コードまでそろった形で情報提供した 点が普段と違って⾒見見えたのかも ! これまで「せめて公開⽇日は知りたい」「パッチの事前提 供を受けたい」などの要望がある中での情報提供 Copyright©2014 JPCERT/CC All rights reserved. 22
  26. 26. Lessons (to be) Learned Copyright©2014 JPCERT/CC All rights reserved. 23
  27. 27. +1$35̞開発者 ! 事前情報提供は、開発者の皆さんの役にほんとうに⽴立立っ たのだろうか? — 今回は運良良く、レピダム菊池さん提供の精度度の⾼高い検証 データがあった — OpenSSL からパッチの事前提供はなし — あくまでOpenSSL が修正した6件の脆弱性のうちの1つ ! 「メディアでも話題になる重要案件は社内調整もあり役 に⽴立立ちます」という声も Copyright©2014 JPCERT/CC All rights reserved. 24
  28. 28. +1$35̞開発者 ! フィードバックはとてもありがたいです — 検証結果を共有して下さった IIJ、ヤマハ、横河電機 — 特に IIJ さんの影響範囲に関する分析は、アドバイザリ作 成時に参考にさせて頂きました Copyright©2014 JPCERT/CC All rights reserved. 25
  29. 29. +1$35̞0QFO44- ! ミドルマンにならないために — 発⾒見見者から、IPA/JPCERT、CERT/CC、OpenSSLの3者に連 絡が⾏行行ってしまった — OpenSSL に x 3++ のやり取りが発⽣生 ! 余計な負担がフラストレーションを招く結果に Copyright©2014 JPCERT/CC All rights reserved. 26
  30. 30. +1$35̞$35$$]/$4$'* ! 国際連携の認知度度向上キャンペーン — 連携していることが知られていない — 調整機関 ML (vultures) — 開発者、研究者に対し国際連携の理理解を広める活動 ! Next vultures F2F meeting — 2015年年春@RSA Conference — US の Vendor ミーティングと共催 Copyright©2014 JPCERT/CC All rights reserved. 27
  31. 31. 脆弱性発⾒見見者・研究者の皆さんに知っておいてほしいこと ! まずは JPCERT/CC, IPA にご連絡を — 開発者との調整活動を⾏行行っているCERT組織は世界で3つ ! JPCERT/CC, CERT/CC, NCSC-FI — NDAを結んで連携しています ! JPCERT/CC は CVE の採番機関です ! 海外の開発者とも普段からやりとりしています — Adobe, Apple, Google, Android, OpenSSL etc… ! JPCERT/CC は Responsible Disclosure の精神にのっとっ て調整します Copyright©2014 JPCERT/CC All rights reserved. 28
  32. 32. OSS開発者の皆さんに知っておいてほしいこと ! 2つのポリシーがあるとスムーズです ! 脆弱性取扱いポリシー — 脆弱性の届け出先アドレス — 対応の流流れ — 脆弱性公表ページ — セキュリティ問題に「前向き」な姿勢 ! 脆弱性公表ポリシー — ユーザがリスクを判断できる情報の公表 — 脆弱性のリスクを低減する⽅方法の提⽰示(パッチ、ワークア ラウンド) — 発⾒見見者・研究者に対する acknowledge Copyright©2014 JPCERT/CC All rights reserved. 29
  33. 33. OpenSSL の セキュリティポリシー Copyright©2014 JPCERT/CC All rights reserved. 30
  34. 34. 0QFO44-4FDVSJUZ1PMJDZ ! 年年⽉月⽇日に第版が公開された ˋ IUUQTXXXPQFOTTMPSHBCPVUTFDQPMJDZIUNM ! 脆弱性を段階の脅威に分類してハンドリング ˋ 低:開発中のブランチで即修正。必要に応じてバックポー ト ˋ 中:次のセキュリティYでまとめて修正 ˋ ⾼高:なる早でバージョンアップ対応(サポート中のバー ジョンのみ) ! 事前通知は、基本的に 04EJTUSPに対してのみ ˋ 調整機関に事前通知やパッチ提供は⾏行行わない Copyright©2014 JPCERT/CC All rights reserved. 31
  35. 35. 参考 *4$7VMOFSBCJMJUZ%JTDMPTVSF1PMJDZ ! *4$ の 7VMOFSBCJMJUZ%JTDMPTVSF1PMJDZ が 付けで 更更新された ! #FGPSF ˋ +1$35はメーリングリスト経由で事前提供を得ていた ! GUFS ˋ サポート顧客、%/4 オペレータ、04 ディストリビュータ のみが事前提供を受けることとなった ! +1$35$$ は、公開当⽇日に *4$ から公開の連絡を受け、 各⽅方⾯面 国内開発者、1$35、1BD$35、GSJDB$35 への展開を⾏行行う予定 ! 詳細:IUUQTLCJTDPSHBSUJDMF Copyright©2014 JPCERT/CC All rights reserved. 32
  36. 36. ご静聴ありがとうございました 5IBOLZPV Copyright©2014 JPCERT/33 CC All rights reserved.
  37. 37. 参考資料料 OpenSSL Security Policy Last modified 7th September 2014 全訳 Copyright©2014 JPCERT/CC All rights reserved. 34
  38. 38. はじめに *OUSPEVDUJPO 3FDFOUBXTIBWFDBQUVSFEUIFBUUFOUJPOPGUIFNFEJBBOEIJHIMJHIUFEIPX NVDIPGUIFJOUFSOFUJOGSBTUSVDUVSFJTCBTFEPO0QFO44-8FWFOFWFS QVCMJTIFEPVSQPMJDZPOIPXXFJOUFSOBMMZIBOEMFTFDVSJUZJTTVFTUIBU QSPDFTTCFJOHCBTFEPOFYQFSJFODFBOEIBTFWPMWFEPWFSUIFZFBST 昨今の 0QFO44-の ⽋欠陥はメディアの注⽬目を集め、いかに多くのインターネッ ト基盤が0QFO44-に依存しているかを浮き彫りにした。我々 0QF44- はこれ まで、内部でどのようにセキュリティ問題を取り扱うかのポリシーを公開した ことはない。ハンドリングプロセスは、経験に基づくものであり、年年⽉月を経て 発展してきた。 Copyright©2014 JPCERT/CC All rights reserved. 35
  39. 39. セキュリティ問題の報告について 3FQPSUJOHTFDVSJUZJTTVFT 8FIBWFBOFNBJMBEESFTTXIJDIDBOCFVTFEUPOPUJGZVTPGQPTTJCMFTFDVSJUZ WVMOFSBCJMJUJFTTVCTFUPG0QFO44-UFBNNFNCFSTSFDFJWFUIJTNBJM BOE NFTTBHFTDBOCFTFOUVTJOH1(1FODSZQUJPO'VMMEFUBJMTBSFBUIUUQT XXXPQFOTTMPSHOFXTWVMOFSBCJMJUJFTIUNM 問題の可能性があるセキュリティ脆弱性を我々に通知するためのメールアドレスを 我々は設けている。0QFO44-開発チームの⼀一部のメンバーがこのメールを受信する。 メッセージは1(1で暗号化してもよい 訳注 。詳細はこのページを参照してほしい IUUQTXXXPQFOTTMPSHOFXTWVMOFSBCJMJUJFTIUNM 8IFOXFBSFOPUJFEBCPVUBOJTTVFXFFOHBHFSFTPVSDFTXJUIJOUIF0QFO44- UFBNUPJOWFTUJHBUFBOEQSJPSJUJTFJU8FNBZBMTPVUJMJTFSFTPVSDFTGSPNUIF FNQMPZFSTPGPVSUFBNNFNCFST BTXFMMBTPUIFSTXFIBWFXPSLFEXJUICFGPSF 問題の通知を受け取ると、0QFO44-開発チームの中でリソースを確保し、問題の調 査と優先度度付けを⾏行行う。場合によっては、メンバーの雇⽤用主のリソースを借りたり、 過去の協⼒力力者の⼒力力を借りることもある。 Copyright©2014 JPCERT/CC All rights reserved. 訳注 PQFOTTMTFDVSJUZ!PQFOTTMPSHの鍵 LFZ*% は今や誰も復復号でき ないらしく、この鍵で暗号化すると怒怒られます。0QFO44-$PSFBOE%FWFMPQNFOU 5FBN開発者個⼈人の1(1鍵を使いましょう。 36
  40. 40. 背景事情 #BDLHSPVOE WFSZPOFXPVMEMJLFUPHFUBEWBODFOPUJDFPGTFDVSJUZJTTVFTJO0QFO44-5IJTJTBDPNQMFYUPQJDBOEXFOFFEUPTFUPVUTPNF CBDLHSPVOEXJUIPVSOEJOHT 誰しも 0QFO44-のセキュリティ問題の事前通知を受けたいだろう。これは⼀一筋縄ではいかない話題であり、我々が発⾒見見した背景 事情を⽰示す必要がある。 5IFNPSFQFPQMFZPVUFMMJOBEWBODFUIFIJHIFSUIFMJLFMJIPPEUIBUBMFBLXJMMPDDVS8FIBWFTFFOUIJTIBQQFOCFGPSF CPUI XJUI0QFO44-BOEPUIFSQSPKFDUT 事前により多くの⼈人に知らせれば、情報がリークする可能性がそれだけ⾼高くなる。0QFO44-でも他のプロジェクトでも、これま でにリークの発⽣生を⽬目にしている。 IVHFOVNCFSPGQSPEVDUTGSPNBOFRVBMMZMBSHFOVNCFSPGPSHBOJTBUJPOTVTF0QFO44-*UTOPUKVTUTFDVSFXFCTJUFT ZPVSF KVTUBTMJLFMZUPOE0QFO44-JOTJEFZPVSTNBSU57 DBS PSGSJEHF ⾮非常多くの組織、これまた⾮非常に多くの製品が 0QFO44-を使っている。0QFO44-はウェブサイトをセキュアにするためだけに 使われているわけではなく、スマート57や⾞車車、冷冷蔵庫などでも使われている。 8FTUSPOHMZCFMJFWFUIBUUIFSJHIUUPBEWBODFQBUDIFTJOGPTIPVMEOPUCFCBTFEJOBOZXBZPOQBJENFNCFSTIJQUPTPNF GPSVN:PVDBOOPUQBZVTUPHFUTFDVSJUZQBUDIFTJOBEWBODF パッチやセキュリティ情報を事前に⼊入⼿手する権利利は、とあるフォーラムの有料料メンバーシップのような形態に基づくべきでない、 と我々は強く信じている。我々にお⾦金金を払ったからといって、セキュリティパッチは事前に⼿手に⼊入らない。 8FDBOCFOFUGSPNQFFSSFWJFXPGUIFQBUDIFTBOEBEWJTPSZ,FFQJOHTFDVSJUZJTTVFTQSJWBUFNFBOTUIFZDBOUHFUUIFMFWFM PGUFTUJOHPSTDSVUJOZUIBUUIFZPUIFSXJTFXPVME パッチやアドバイザリのピアレビューから、我々は恩恵をうけることができる。セキュリティ問題をプロジェクト内に留留めると いうことは、公開することで得られるレベルのテストや検証を得られないということである。 *UJTOPUBDDFQUBCMFGPSPSHBOJTBUJPOTUPVTFBEWBODFOPUJDFJONBSLFUJOHBTBDPNQFUJUJWFBEWBOUBHF'PSFYBNQMFJGZPVIBE CPVHIUPVSQSPEVDUVTFEPVSTFSWJDFZPVXPVMEIBWFCFFOQSPUFDUFEBXFFLBHP˒ 組織が事前通知をマーケティング上、他社を出し抜くために利利⽤用することは受け⼊入れられない。たとえば「我々の製品サービス を買えば、週間前に防御できますよ」など Copyright©2014 JPCERT/CC All rights reserved. 37
  41. 41. 背景事情 #BDLHSPVOE 5IFSFBSFBDUVBMMZOPUBMBSHFOVNCFSPGTFSJPVTWVMOFSBCJMJUJFTJO0QFO44-XIJDINBLFJUXPSUITQFOEJOH TJHOJDBOUUJNFLFFQJOHPVSPXOMJTUPGWFOEPSTXFUSVTU PSTJHOJOHGSBNFXPSLBHSFFNFOUT PSEFBMJOHXJUI DIBOHFT BOEQPMJDJOHUIFQPMJDZ5IJTJTBTJHOJDBOUBNPVOUPGFPSUQFSJTTVFUIBUJTCFUUFSTQFOUPOPUIFSUIJOHT 実際のところ 0QFO44-にそれほど多くの深刻な脆弱性は存在しない。したがって、我々が信頼できるベンダのリスト を維持したり、 事前通知のための フレームワークの契約を結んだり、契約の変更更に対応したり、ポリシーを守らせる ことに膨⼤大な時間を費やす価値はない。 8FIBWFQSFWJPVTMZVTFEUIJSEQBSUJFTUPIBOEMFOPUJDBUJPOGPSVTJODMVEJOH$1/* P$35 PS$35$$ CVUOPOF XFSFTVJUBCMF 過去に $1/* P$35 $35$$など第三者機関を使って通知を⾏行行ったことがあるが、どれも適切切ではなかった。 *UTJOUIFCFTUJOUFSFTUTPGUIF*OUFSOFUBTBXIPMFUPHFUYFTGPS0QFO44-TFDVSJUZJTTVFTPVURVJDLMZ0QFO44- FNCBSHPFTTIPVMECFNFBTVSFEJOEBZTBOEXFFLT OPUNPOUITPSZFBST インターネット全体として考えると、最も肝⼼心なことは、0QFO44-のセキュリティ修正を皆にいち早く提供すること である。0QFO44-のエンバーゴーは、⽉月年年単位ではなく、⽇日や週の単位で計られるべきものだ。 .BOZTJUFTBFDUFECZ0QFO44-JTTVFTXJMMCFSVOOJOHBWFSTJPOPG0QFO44-UIFZHPUGSPNTPNFWFOEPS BOEMJLFMZ CVOEMFEXJUIBOPQFSBUJOHTZTUFN 5IFNPTUFFDUJWFXBZGPSUIFTFTJUFTUPHFUQSPUFDUFEJTUPHFUBOVQEBUFE WFSTJPOGSPNUIBUWFOEPS4JUFTXIPVTFUIFJSPXO0QFO44-DPNQJMBUJPOTTIPVMECFBCMFUPIBOEMFBRVJDLQBUDI BOESFDPNQJMFPODFUIFJTTVFJTQVCMJD 0QFO44-の影響を受けるサイトの多くは、なんらかのベンダーから⼊入⼿手した0QFO44-を運⽤用しているだろう 04にバ ンドルされている可能性が⾼高い 。これらのサイトを保護する最も効率率率的な⽅方法は、 管理理者が ⼊入⼿手元のベンダーから アップデート版を⼊入⼿手することである。独⾃自にコンパイルした0QFO44-を使⽤用するサイトであれば、パッチが公開さ れれば、 ⾃自分で 対処できるだろう。 Copyright©2014 JPCERT/CC All rights reserved. 38
  42. 42. 0QFO44-内でのセキュリティ問題のハンドリング *OUFSOBMIBOEMJOHPGTFDVSJUZJTTVFT 5IJTMFBETVTUPPVSQPMJDZGPSTFDVSJUZJTTVFTOPUJFEUPVTPSGPVOECZPVSUFBNXIJDIBSFOPUZFU QVCMJD これらの事情を踏まえ、我々に通知された、あるいは我々⾃自⾝身が発⾒見見した未公開のセキュリティ問題 について、独⾃自の取り扱いポリシーを定めた。 QSJWBUFNFBOTLFQUXJUIJOUIF0QFO44-EFWFMPQNFOUUFBN ⾮非公開 QSJWBUF とは 0QFO44-開発チーム内に情報が留留まるということを指す。 8FXJMMEFUFSNJOFUIFSJTLPGFBDIJTTVFCFJOHBEESFTTFE8FXJMMUBLFJOUPBDDPVOUPVSFYQFSJFODF EFBMJOHXJUIQBTUJTTVFT WFSTJPOTBFDUFE DPNNPOEFGBVMUT BOEVTFDBTFT8FEJWJEFUIFJTTVFT JOUPUIFGPMMPXJOHDBUFHPSJFT 我々は個々の問題がもたらすリスクを判断する。過去に問題を取り扱った経験や、影響を受けるバー ジョン、⼀一般的なデフォルトの設定、ユースケースを考慮する。そうして問題を次のカテゴリーに分 類する。 Copyright©2014 JPCERT/CC All rights reserved. 39
  43. 43. 0QFO44-内でのセキュリティ問題のハンドリング *OUFSOBMIBOEMJOHPGTFDVSJUZJTTVFT • MPXTFWFSJUZJTTVFT5IJTJODMVEFTJTTVFTTVDIBTUIPTFUIBUPOMZBFDUUIFPQFOTTMDPNNBOEMJOFVUJMJUZ VOMJLFMZ DPOHVSBUJPOT PSIBSEUPFYQMPJUUJNJOH TJEFDIBOOFM BUUBDLT5IFTFXJMMJOHFOFSBMCFYFEJNNFEJBUFMZJO MBUFTUEFWFMPQNFOUWFSTJPOT BOENBZCFCBDLQPSUFEUPPMEFSWFSTJPOTUIBUBSFTUJMMHFUUJOHVQEBUFT8FXJMM VQEBUFUIFWVMOFSBCJMJUJFTQBHFBOEOPUFUIFJTTVF$7JOUIFDIBOHFMPHBOEDPNNJUNFTTBHF CVUUIFZNBZOPU USJHHFSOFXSFMFBTFT • 脅威度度低。このカテゴリーには PQFOTTMコマンドラインツール、⼀一般的でない設定、脆弱性の悪⽤用が困難なタイミ ング依存 サイドチャンネル の攻撃などが含まれる。基本的には最新のバージョンで修正され、アップデートを提供 している過去のバージョンにもバックポートする可能性がある。脆弱性のページをアップデートし、DIBOHFMPHや コミットのメッセージで$7に⾔言及するが、新規バージョンリリースのトリガーにはならないかもしれない。 • NPEFSBUFTFWFSJUZJTTVFT5IJTJODMVEFTJTTVFTMJLFDSBTIFTJODMJFOUBQQMJDBUJPOT BXTJOQSPUPDPMTUIBUBSFMFTT DPNNPOMZVTFE TVDIBT%5-4 BOEMPDBMBXT5IFTFXJMMJOHFOFSBMCFLFQUQSJWBUFVOUJMUIFOFYUSFMFBTF BOE UIBUSFMFBTFXJMMCFTDIFEVMFETPUIBUJUDBOSPMMVQTFWFSBMTVDIBXTBUPOFUJNF • 脅威度度中。クライアントアプリの異異常終了了、⼀一般的には使われることのないプロトコル たとえば%5-4 の⽋欠陥、 ローカル エクスプロイト可能な? ⽋欠陥などが含まれる。このカテゴリーの問題は基本的に次のリリースまで⾮非公開 にされる。このカテゴリーの複数の⽋欠陥をまとめて修正するようなスケジュールでパッチが公開される。 • IJHITFWFSJUZJTTVFT5IJTJODMVEFTJTTVFTBFDUJOHDPNNPODPOHVSBUJPOTXIJDIBSFBMTPMJLFMZUPCF FYQMPJUBCMFYBNQMFTJODMVEFBTFSWFS%P4 BTJHOJDBOUMFBLPGTFSWFSNFNPSZ BOESFNPUFDPEFFYFDVUJPO 5IFTFJTTVFTXJMMCFLFQUQSJWBUFBOEXJMMUSJHHFSBOFXSFMFBTFPGBMMTVQQPSUFEWFSTJPOT8FXJMMBUUFNQUUPLFFQ UIFUJNFUIFTFJTTVFTBSFQSJWBUFUPBNJOJNVNPVSBJNXPVMECFOPMPOHFSUIBOBNPOUIXIFSFUIJTJT TPNFUIJOHVOEFSPVSDPOUSPM BOETJHOJDBOUMZRVJDLFSJGUIFSFJTBTJHOJDBOUSJTLPSXFBSFBXBSFUIFJTTVFJT CFJOHFYQMPJUFE • 脅威度度⾼高。⼀一般的な設定に影響を与え、かつ攻撃される可能性が⾼高い問題。サーバの%P4、メモリ内容の漏漏洩、遠 隔からのコード実⾏行行など。このカテゴリーの問題は⾮非公開として扱われ、サポート中の全てのバージョンについて修 正版を新規リリースする。⾮非公開にする時間は最⼩小限にする努⼒力力をする。我々のコントロール下にある問題であれば、 ⽬目標はヶ⽉月以内であり、重⼤大なリスクが存在する場合や攻撃がすでに⾏行行われている場合はもっと早くなる。 Copyright©2014 JPCERT/CC All rights reserved. 40
  44. 44. 0QFO44-内でのセキュリティ問題のハンドリング *OUFSOBMIBOEMJOHPGTFDVSJUZJTTVFT %VSJOHUIFJOWFTUJHBUJPOPGJTTVFTXFNBZXPSLXJUIJOEJWJEVBMTBOEPSHBOJTBUJPOT XIPBSFOPUPOUIFEFWFMPQNFOUUFBN8FEPUIJTCFDBVTFQBTUFYQFSJFODFIBT TIPXOUIBUUIFZDBOBEEWBMVFUPPVSVOEFSTUBOEJOHPGUIFJTTVFBOEUIFBCJMJUZUP UFTUQBUDIFT*ODBTFTXIFSFQSPUPDPMTBSFBFDUFEUIJTJTUIFCFTUXBZUPNJUJHBUFUIF SJTLUIBUBQPPSMZSFWJFXFEVQEBUFDBVTFTTJHODJBOUCSFBLBHF PSUPEFUFDUJGJTTVFT BSFCFJOHFYQMPJUFEJOUIFXJME8FIBWFBTUSJDUQPMJDZPOXIBUUIFTFPSHBOJTBUJPOT BOEJOEJWJEVBMTDBOEPXJUIUIFJOGPSNBUJPOBOEXJMMSFWJFXUIFOFFEPOBDBTFCZ DBTFCBTJT 問題を調査する間、開発チーム以外の個⼈人や組織と協⼒力力して活動することがある。我々 がそうする理理由は、我々が問題を理理解したりパッチを検証することに、彼らが貢献して くれるからである。プロトコルが影響を受ける場合、レビュー不不⼗十分なアップデートが ⼤大きな問題をもたらすリスクを低減したり、問題が実際に攻撃されているかどうかを検 知したりするために、これは最も優れた⽅方法である。これらの個⼈人や組織に対し、情報 の取扱いに関して厳格なポリシーを設けており、ケース 問題 ごとに協⼒力力を必要とするか を決めている。 Copyright©2014 JPCERT/CC All rights reserved. 41
  45. 45. 事前通知ポリシー 1SFOPUJDBUJPOQPMJDZ 8IFSFXFBSFQMBOOJOHBOVQEBUFUIBUYFTTFDVSJUZJTTVFTXFXJMMOPUJGZUIFPQFOTTMBOOPVODF MJTUBOEVQEBUFUIFIPNFQBHFUPHJWFPVSTDIFEVMFEVQEBUFSFMFBTFEBUFBOEUJNFBOEUIF TFWFSJUZPGJTTVFTCFJOHYFECZUIFVQEBUF/PGVUIFSJOGPSNBUJPOBCPVUUIFJTTVFTXJMMCFHJWFO 5IJTJTUPBJEPSHBOJTBUJPOTUIBUOFFEUPFOTVSFUIFZIBWFTUBBWBJMBCMFUPIBOEMFUSJBHJOHPVS BOOPVODFNFOUBOEXIBUJUNFBOTUPUIFJSPSHBOJTBUJPO セキュリティ問題を修正するアップデート の公開 を計画している場合、PQFOTTMBOOPVODFリスト にその旨を通知するとともに、ウェブページを更更新してアップデートのリリース予定⽇日時、問題の脅 威度度を知らせる。この段階では、問題に関する情報公開はこれらのみとする。この公開は、我々の情 報公開をトリアージュできるスタッフを確保し、組織にとって情報が持つ意味を判断できるよう⽀支援 するものである。 'PSVQEBUFTUIBUJODMVEFIJHITFWFSJUZJTTVFTXFXJMMBMTPQSFOPUJGZXJUINPSFEFUBJMTBOEQBUDIFT 0VSQPMJDZJTUPMFUUIFPSHBOJTBUJPOTUIBUIBWFBHFOFSBMQVSQPTF04UIBUVTFT0QFO44-IBWFB GFXEBZTOPUJDFJOPSEFSUPQSFQBSFQBDLBHFTGPSUIFJSVTFSTBOEGFFECBDLUFTUSFTVMUT 脅威度度⾼高の問題を含むアップデートについては、より詳しい情報とパッチを事前に通知する。我々の ポリシーは、0QFO44-を使⽤用する汎⽤用04を提供する組織が、04利利⽤用者のためにパッケージを準備し、 テスト結果を反映させるために必要な数⽇日間の猶予を与えることにある。 Copyright©2014 JPCERT/CC All rights reserved. 42
  46. 46. 事前通知ポリシー 1SFOPUJDBUJPOQPMJDZ 8FVTFUIFNBJMJOHMJTUEFTDSJCFEBUIUUQPTTTFDVSJUZPQFOXBMMPSHXJLJNBJMJOHMJTUTEJTUSPTGPS UIJT8FNBZBMTPJODMVEFPUIFSPSHBOJTBUJPOTUIBUXPVMEPUIFSXJTFRVBMJGZGPSMJTUNFNCFSTIJQ 8FNBZXJUIESBXOPUJGZJOHJOEJWJEVBMPSHBOJTBUJPOTGSPNGVUVSFQSFOPUJDBUJPOTJGUIFZMFBL JTTVFTCFGPSFUIFZBSFQVCMJDPSPWFSUJNFEPOPUBEEWBMVF WBMVFDBOCFBEEFECZQSPWJEJOH GFFECBDL DPSSFDUJPOT UFTUSFTVMUT FUD この通知には、IUUQPTTTFDVSJUZPQFOXBMMPSHXJLJNBJMJOHMJTUTEJTUSPTのメーリングリストを 使う。また、このメーリングリストの参加条件に⾒見見合うような他の組織を通知先に含めることがある。 ⼀一般公開前に情報をリークしたり、我々にとって価値がないと判断した組織は フィードバックをくれ たり、修正してくれたり、テスト結果を返してくれるようなところは価値がある 、将来、事前通知先 から外すことがある。 'JOBMMZ OPUFUIBUOPUBMMTFDVSJUZJTTVFTBSFOPUJFEUPVTEJSFDUMZTPNFDPNFGSPNUIJSEQBSUJFT TVDIBTDPNQBOJFTUIBUQBZGPSWVMOFSBCJMJUJFT TPNFDPNFGSPNDPVOUSZ$35T5IFTF JOUFSNFEJBSJFT PSUIFSFTFBSDIFSTUIFNTFMWFT NBZGPMMPXBEJFSFOUTUZMFPGOPUJDBUJPO5IJTJT XJUIJOUIFJSSJHIUTBOEPVUTJEFPGUIFDPOUSPMPGUIF0QFO44-UFBN 最後に、必ずしも全てのセキュリティ問題が我々に直接通知されるわけではない。脆弱性にお⾦金金を払 う企業のようなサードパーティーの組織から通知されることもあれば、国を代表する$35から通知さ れることもあれば、研究者⾃自⾝身から通知されることもあり、彼らの通知スタイルは様々である。どの ようなスタイルで通知するかは彼らの権利利であり、0QFO44-チームがコントロールできる範囲の外に ある。 Copyright©2014 JPCERT/CC All rights reserved. 43

×