このところmixiの脆弱性検査とcybozu.com security challengeをやっていたのですが、それぞれで成果が一応出たので書いてみます。
まずはcybozu.com security challengeのほう。
cybozu.com security challengeというのは、サイボウズのcybozu.com上の「kintone」というサービスなどに存在する脆弱性を見つけ出すことを競うコンテストで、賞金が高額だったりしたせいか、セキュリティ界隈の方々のtwitterで話題になっていました。
コンテストの期間は11月11日11時11分から11月25日18時までと短く、エントリー制だったので、私もエントリーして開始日を待っていました。
いざコンテストが始まってみると、別件で忙しくてなかなかログインできなかったり、検査対象の「kintone」というサービスの利用方法を理解するまでにも少し時間がかかったりしました。
会社勤めをしている人間にとっては、平日はあまり検査はできないので、週末が勝負という感じだったのですが、そうすると期間内に2回しか週末がないため、結構時間がないコンテストでした。
対象のサービス「kintone」は、かなりしっかりとした作りで隙がなかなかなく、最初全然取っ掛かりが見つけられなかったのですが、一箇所だけ悪用可能かも? という現象を見つけたので、その箇所で何かできないか試していて、ソーシャルな感じの罠を仕掛けることが一応可能だったので、それを報告しました。
その後、他の攻撃可能箇所は見つけられないままタイムオーバーという感じでした。
報告した現象は、(どこまで書いていいかわからないのでぼかして書きますが)、ある手段でフィッシングっぽいことが可能だったのですが、ユーザーを誘導して操作させる必要があったりしたため、攻撃成立の可能性は高くないという判定で、脆弱性とは認められませんでした。
しかし、報告後に、報告した現象を封じる手段を追加情報として送ったところ、機能追加を検討するという連絡があり、有益な情報を提供したということで評価ポイントを1ポイント頂きました。
ルールブックによると評価ポイント1ポイントの価値は
9.2.1 報奨金の分配形式
評価ポイントを獲得した参加者は、認定時間順に「¥12,000- * 評価ポイント」の報奨金を獲得します。
9.2.2 報奨金の対象となる評価ポイントの上限
本コンテストでは、報奨金の対象となる評価ポイントの上限を 200 といたします。
ただし、参加者はそれ以降も評価ポイントを獲得できます。
コンテストの最中、三日間だけ送られてきた途中経過ランキングでは、脆弱性バウンティハンターとして名高い、日本人と思われるあの方がランキング一位だったりして、「やっぱすげえなあ」と思ったりしました。(※ランキング送付一度だけと書いていましたが、よく思い返したら三度でした。修正しました)
後で出た情報では
コンテストには、日本の著名なWebセキュリティー技術者の大半が参加していた
(サイボウズ 脆弱性コンテストで19件の脅威が見つかる(日本経済新聞))
(といっても、本コンテストのために本番環境とは別に検査用の環境をわざわざ作ったり、コストが結構かかったと言っていたりしたので総額は結構かかってる気配もありますが)
コンテスト中や後の運営の対応も良く、熱気があって楽しめました。
サイボウズ様、面白い試みありがとうございました。
また同じような企画があったら参加します。
(でも今回は全然歯が立たなかったに等しい結果で、自分の脆弱性検査テクのなさに失望したので、もうちょいテクを磨かないと・・・)
mixi脆弱性報告制度の成果については次回書きます。