深夜のXSS講座も？　サイボウズのバグハンター合宿がやたら楽しそうな件：セキュリティ・アディッショナルタイム（32）（2/2 ページ）

　この脆弱性について報告を受けた直後は、さすがのCy-PSIRTメンバーも「改修したはずなのに、何で再現するんだろう」と嫌な汗をかいたそうだ。他の脆弱性の確認作業と並行して、慌ててJPCERT/CCに連絡を取るなどドタバタしたが、公表後に問題が指摘されるという、より深刻な事態は避けられた。これぞ、優れた技術力を持つバグハンターの力をうまく利用した例と感じられた。

寄せられた報告の確認作業と並行してJPCERT/CCとも連絡を取ることになり、最後まで気が抜けなかったという

　他にも反射型XSS（Cross Site Scripting）にCSRF（Cross Site Request Forgery）、SSRF、XXE（XML External Entity）、ディレクトリトラバーサルにDoS（Denial of Service）、あるいは認証を経ずにファイルのアップロードといった操作ができてしまう仕様上の問題に至るまで、バラエティーに富む問題が報告された。また脆弱性を調査する中で、悪用にまでは至らないが「動きやエラーメッセージがちょっとおかしいので、もう少しこの辺を調査すれば脆弱性が見つかるのではないか」という部分も指摘され、議論のタネになっていた。

　ただ、プロダクトやサービスによって脆弱性の見つかり方に偏りがあったのも事実だ。

　サイボウズ側が開発プロセスの改善に努めるだけではなく、Webブラウザそのものも改良が続いており、以前のような単純な脆弱性は見つかりにくくなってきた。従って、kintoneのように以前から公開され、脆弱性がつぶされてきたサービスについては、バグハンター側も「固め」と見たためか、ほとんど報告がなかったという。

　一方で、今まで対象になっていなかった特別製品を合宿限定で対象としたが、開発のいきさつなどもあってあまりケアができておらず、「案の定、いろいろと報告が寄せられ、今後の参考になった」とサイボウズ 開発本部長の佐藤鉄平氏は述べている。

　Cy-PSIRTでは、1泊2日の合宿修了後も一から評価し直すなど精査を続け、必要に応じて開発者に修正を依頼するなど、数カ月スパンで対応を続けていくという。

技術力に裏打ちされた指摘が製品品質向上の力の一つに

　「朝起きてきたら数十件のチケットがたまっていて、うれしい悲鳴を上げた」というほど、ある意味ではシンドイ場であるにもかかわらず、なぜ、わざわざ脆弱性報奨金制度を展開し、合宿まで実施するのだろうか。

　サイボウズ Cy-PSIRTの大塚由梨子氏は理由の一つを「報奨金や経費はかかるが、それだけの価値のあるイベントだと考えている。脆弱性があることを認めた上で、早くそれを見つけ、改修する、その早さに大きな価値があると思うし、技術的に学べることも多い」と話す。

朝の光とバグハント

　サイボウズから参加したエンジニアも、「今の時代、その気になればプログラム自体は簡単に書くことができるが、そこにこうした脆弱性があり、このように踏み台にして害を及ぼすことが可能だと示してくれるバグハンターは技術力がすごくあるし、刺激をもらう大事な存在だ」と述べていた。

　仕様検討時からセキュリティ視点でのフィードバックをもらい、簡単な脆弱性はフレームワークでつぶし、検査を行ってメンテナンスしていく……。そうした地道な取り組みを通じて、安易な脆弱性はつぶしてきた。また、これまでの報奨金制度を通じて、開発者側もセキュリティへの感度を高め、「こんな報告があるならば、ここに気を付けよう」と、仕様検討やコーディング時に報告内容に留意するようになっているという。

　だが、それでもなおいろいろな対策をかいくぐって悪用される脆弱性はある。そこを指摘してくれる重要な存在としてバグハンターを認識しているという。年々、複雑な脆弱性が増えている印象があることもあり、サイボウズ Cy-PSRITの長友比登美氏は「バグハンターの皆さんの話を聞きながら、受け止めるべき問題は受け止め、淡々と修正していきたい」と話す。

　本部長は「せっかくだから、こういう場でソースコードを提供すると、今までとは違ったタイプの脆弱性報告が出てくるかもしれない」と述べ、引き続き制度ならびに合宿への協力を求めていた。

じかに会話を交わすことで生まれる信頼関係と新たな知見

　もう一つの理由は、バグハンターとつながりができ、じかにコミュニケーションを取れるのが楽しいからだ。

　「宿題」もあって想像以上のペースで寄せられる報告を確実にさばかねばならないプレッシャーにさらされながらも、バグハンターとじかに「可用性に影響が出るというなら、そのことを示してもらえませんか？」「なるほど、これはまずいですね……」といった会話を交わし、理解を含めていく機会として非常に楽しめたという。

　サイボウズに限らず、脆弱性報奨金制度を巡っては、報告した問題が脆弱性かどうかの判断で議論になることは珍しくない。今回も、評価の結果、脆弱性として認定されなかった問題について、「いや、それには反論したい」とその場で議論し、サイボウズ側の社内開発基準なども参照しながら突き詰めていく姿が見られた。

　印象深かったのは、CVSSで深刻度を判定したところ「1.7」という非常に低いスコアの脆弱性（「ローカル環境でバイナリファイルを編集し、実行できてしまう」という内容であり、そもそも脆弱性なのかどうか首をひねるところもある）も報告されたことだ。Cy-PSIRTも「常に悩んでいる」と言うが、「脆弱性の深刻度をどのように図るか」「CVSSだけで決めていいのか」など、この部分については引き続き議論していく必要があるだろう。

　ただバグハンター側も、報告しても“なしのつぶて”で、ただメールの返信を待つのに比べ、こうしてリアルタイムにやりとりできるのは「ストレスがなく、良い取り組みだ」と感じたそうだ。「じかに事情を聞くことで、コードの背景にどういった歴史的いきさつがあるのかも理解できた」とも話す（それでも脆弱性は報告するが）。

　会場では、普段オンラインでは顔見知りでも、実世界では初めて会話を交わすバグハンター同士が、「○○さん、リアルでは初めてですよね」と会話を交わす場面もあった。XSSやCSRFなど、それぞれの「得意分野」に関する知見を交換し、互いのやり方を学ぶ場にもなっていた。

BGP（Border Gateway Protocol）が生まれた際の逸話を思い出させる、深夜の勉強会で残されたメモ書き

　深夜2時には、mage氏から「私はXSSちょっとデキル」Tシャツをプレゼントされた国内有数のバグハンター、Masato Kinugawa氏らを中心に「即席XSS勉強会」が開催され、深夜ならではのテンションで盛り上がっていた。この臨時勉強会で得た、ブラウザのHTMLパーサーの仕様に関する知識を生かし、翌日新たな脆弱性を報告していた参加者もいたほどだ。

　バグハンターにとっても、また主催のサイボウズにとってもメリットのあるこうした場は、ひいては安心して使えるサービスであるという意味でユーザーにとっても利益になる。

　「ユーザーを脅威から守るという目的は、われわれバグハンターも、サイボウズも共通」「サイボウズに限らず、さまざまな企業にもこうした取り組みがぜひ増えてほしい」（mage氏）