先日、セ キュリティアンテナを見に行ったところ、 「JPCERT/CC Vendor Status Notes (JVN)」が上の方に躍り出ていた。何が更新されたのかと見に行ったところ、 「Vender Status Notes - JP」の欄に、
JVN#E59B594B: 鶴亀メールにおけるS/MIMEの署名検証に脆弱性 [2004/12/16 19:00]
と書かれていた。これが更新部分なのだろう。そう思えた。
鶴亀メールのS/MIME署名検証に脆弱性といえば、10月にも一度発表されている。 このことは、10月30日の日 記でも次のように書いていた。
さて、JVN#E59B594Bが発表された。 これは、 鶴亀メールのS/MIME機能*1が、署名メールの証明書パス(証明書チェイン)が検証されないものだったという欠陥である。
このときと何が違うのだろうか。「JVN#E59B594B」という番号は、前回と今回 で同じになっている。
JVN#E59B594Bのペー ジを見に行ってみると、末尾にこう書かれていた。
登録日 16:00 2004/10/28
更新日 19:00 2004/12/16
やはり10月のものと同じ件のようだが、12月16日に何か更新されたようだ。 しかし、どこが改定されたのかさっぱりわからない。
唯一ヒントとなるのは、「ベンダ情報」の欄に、
ベンダ ステータス 更新日 サイトー企画 該当製品あり 2004/12/16
と書かれていたことだ。このリンク先を見に行ってみると、次のように書かれ ていた。
サイトー企画の JVN#E59B594B への対応
公表日 2004/10/28
最終更新日 2004/12/16
状態 : 該当製品あり JVN#E59B594B製品開発者からの提供情報
下記URLにて対処済み最新バージョンを公開しています。
http://hide.maruo.co.jp/software/tk.html鶴亀メールの改版履歴
http://hide.maruo.co.jp/software/tkhist.html脆弱性についての情報
http://hide.maruo.co.jp/software/tkparticular.html
これだけである。やはりどこが改定されたのかわからない。
「何か細かい記述の誤りとかが修正されただけなのだろうか?」 「バージョンアップする必要があるとか、そういう緊急性はないのかな?」 読者にそう思われても不思議でない。
その後、IPAから、
このメールは、取扱い番号 IPA#E59B594B に関する連絡です。
11/10 に頂いた情報をもとに、JVN の情報が、2004/12/16 19:00 に更新されましたことをご連絡いたします。
という連絡メールが来た*1。 どうやらこれは、私が届け出た件を受けて更新されたもののようだ。
じつは、私は11月10日に次のことを届け出ていた。
10月28日に発表されたJVN#E59B594Bは、
影響を受けるシステム
- 鶴亀メール v3.70 およびそれ以前
と伝えていた。セキュリティホールmemoの10月29日のエントリーには、
鶴亀メール 3.71 以降で修正されている。 鶴亀メールの改版履歴を見る限りでは 3.70 で直っているような気がしないでもないのだが、 最新は 3.71 なので、まあいいか。
セキュリティホールmemo - JVN#E59B594B 鶴亀メールにおけるS/MIMEの署名検証に脆弱性 (JVN, 2004.10.28)
と書かれていた。このときの届出をしたのも私だが、私が届け出たときに検証 したのは、バージョン 3.67beta3 だった。改版履歴によれば、 3.70で
[重要]S/MIME電子署名されたメールの検証で、電子署名自体は検証しつつも、証明書の検証がなされてなかったバグ修正。証明書が失効されてるかどうかもチェックできるボタンも追加した。
とあるように修正されたが、3.71で、
S/MIME電子署名の検証で、送り主のメールアドレスが一致してても「違ってる」と出てしまうことがあるバグ修正。
という修正もされたようだ。そこで、JVNは、「v3.70 およびそれ以前」を 「影響を受けるシステム」としたのだろう。
ところが、その後、バージョン 3.71を入手して再度検証を行ってみたところ、 証明書パスが検証されない現象は以前のまま再現することに気づいた。 そこで11月10日に以下の内容の連絡をしたのだった。
こちらで確認したところでは、信頼済みCAとして登録していない自己署名CAか ら発行したなりすまし証明書で署名したメールを表示したにもかかわらず、 「鶴亀メール Version 3.71」は、署名検証時に以下の表示をしました。 「証明書パスに問題はありません」という誤った表示が出ています。(略)
このことについて、ベンダーが主宰する掲示板にも次のように書かれていた。
秀まるお2 さん 04/11/16 23:16
S/MIMEにちょっとまずいバグが出てしまいました。実は、V3.68付近以下にて、 S/MIME電子署名の検証に脆弱性があるという話がありました。具体的には、電子 署名に疲れた証明書の有効性が検証されてないということと、証明書パスの検証 もされてないという話でした。
それに対して対処したつもりが、実はまったくテストしてないのがばれてしま いました。証明書パスが間違っていても、「×」と出なくて、「○ 有効」みた いに出てしまいます。
これを修正したのが、改版履歴に
2004/12/16 V3.71 -> V4.00
* 主な変更点
o 迷惑メールフィルターを作った。
o S/MIME電子署名の検証関係での脆弱性のバグ対応。
と書かれていることからして、バージョン 4.00なのだと推察される。
つまり、バージョン 3.71 以前を使っている人は、S/MIME機能を使うのなら、 4.00 へのバージョンアップが必要だということだ。 にもかかわらず、JVN#E59B594B には、現時点においても、
影響を受けるシステム
- 鶴亀メール v3.70 およびそれ以前
と書かれている。これはどういうことなのか? 完全に間違ったことが書かれている。
そもそも、11月10日に連絡した私の指摘は、バージョン 3.71に対する新たな 脆弱性として、新規のJVN番号を割り当てて取り扱うべきだった。
「同じ製品に対する同じ種類の脆弱性については同じJVN番号で取り扱う」 ということなのだろうか? そういうことをすると、新たな欠陥が見つかっても、同じ文書の改定という 形で発表することになる。 そして、何が改定されたのか不明な文書が公開されている。
この文書はいったい誰に向けて公表しているのか?
誰に読ませて、何を知らせたい文書なのか?
窓の杜は10月のJVN発表に対して、11月2日に以下のように報道していた。
JP Vendor Status Notesは10月28日、 メールソフト「鶴亀メール」v3.69以前に、S/MIMEの電子署名に関する脆弱性 が2件あると発表した。脆弱性の内容は、電子署名の証明書を偽装さ れたメールを正式な証明書として受信してしまう恐れがあるというもの。本脆 弱性は最新版のv3.71で修正されており、窓の杜や作者ホームページからダウ ンロードできる。まだ古いバージョンを使用しているユーザーはこれを機に最 新版へ更新しておこう。
こうした報道のための確かな情報源となるのが、JVNに求められる役割のはず だ。
だが、窓の杜は、鶴亀メール v4.00の発表に際して、以下のように報道してお り、S/MIME署名検証の脆弱性が修正されていることに触れていない。
(有)サイトー企画は16日、メールソフト「鶴亀メール」v4.00を公開した。今回のバージョンアップでは、新たに迷惑メールフィルター機能を搭載したほか、メール一覧を2段表示できるレイアウトなどが追加された。(略)
そのほかの変更点では、既存の“ウイルス対策”機能が強化されている。添付されたZIP形式の圧縮ファイル内を調べて、指定した拡張子のファイルが存在する場合に自動削除する機能が追加された。
また表示関連の変更として、メール一覧でSubjectとFromを2行で表示する新レイアウトや、一行おきに背景を色分けする“ストライプ表示”が追加されている。
16日に更新された JVNの情報が役立っていないことがわかる。
「影響を受けるシステム」のバージョン番号の部分を改定し忘れたのは、 JVNの単純ミスだったとしよう。 しかし、改定履歴を書かないのはまったく理解しかねる。
改定履歴さえ書いていれば、「影響を受けるシステム」のバージョン番号がお かしいことに気づくだろう。
率直に言って、JVNは、一般的に「文書を公表する」という仕事をするにあたっ て求められている基本的な能力に問題がある、そう言わざるを得ない。
*1 こうしたメールは、IPAの脆弱性情報届出窓口に 製品の脆弱性を届け出ていた人に対して、その件がJVNで公表された際に送ら れてくる。