結果を先に言うと、サイボウズ社はセキュリティポリシーによって、(アカウントを持つユーザからしか攻撃され得ないなどの)危険な状況が少ない脆弱性については告知するが、第三者から攻撃され得る脆弱性については告知しない(更新履歴やFAQには書いておくが積極的に知らせることをしない)という方針で、今回も、過去もそうしてきたし、今後もそうしていくつもりなのだという。
(1)は,細工が施されたリクエストを送信されると,公開を意図していないファイル(公開用フォルダに置いていないファイル)を表示してしまうセキュリティ・ホール(略)
(2)は,Office 6に関するセキュリティ・ホール(略)。細工が施されたリクエストを送信されると,ログイン・アカウントを持たないユーザーに対して,Office 6に登録されているユーザー/グループ情報を公開する恐れがある。(略)
サイボウズによれば,同社の「ガルーン 2」および「ワークフロー for ガルーン 2」にはSQLインジェクションのセキュリティ・ホールも見つかっているという(略)
という記事が出ている。3つの脆弱性があるわけだが、サイボウズ社のホームページの「重要なお知らせ」で告知されている「サイボウズ製品で発見された脆弱性についてのお知らせ」では、
上記2件の脆弱性の問題を改修したプログラムを公開しています。 改修プログラムのダウンロード、および適用をお願いいたします。
となっており、(2)の脆弱性のことが書かれていない。
最初は問題を認識していないだけだろうと思ったので、問題点を指摘するべく電話したのだったが、「お客さま対応の責任者」に代わってもらって話をすると、これらはサイボウズ社のセキュリティポリシーに従って行っていることなのだという。
やりとりは概ね次のようになった。(前半は堂々巡りが多かったので概略。後半はメモを取りながら話したのでほぼそのまま会話通りになっている。)
私: 御社の告知では、今回の脆弱性は2つだということになっていますが、日経BPの記事を見て、実際には3つだと知りました。どうして1つを隠すのですか?
サ: 隠しているということはございません。製品のホームページ、つまりサイボウズOffice 6のサイト、これは弊社のトップページから行けますが、そこにあるダウンロードのページに「更新履歴」というところがありまして、製品名をクリックすると「サイボウズ Office 6.6 における改修内容」というリンクがありまして、そこに書いてございます。
私: そんなところは誰も見ていないのではありませんか? SQLインジェクションとディレクトリトラバーサルの件は、サイボウズ社のトップページで「重要なお知らせ」として告知しているのに、なぜこの件については同じように告知しないのですか?
サ: サイボウズ社のセキュリティに対する考え方として、セキュリティの情報を公表することは、お客さまにセキュリティの問題をもたらすことになると考えておりまして……
私: じゃあ、どうしてSQLインジェクションとディレクトリトラバーサルは告知するわけですか?
サ: SQLインジェクションとディレクトリトラバーサルについては、重要なことと捕らえましてお客さまに告知させていただいているしだいです。
私: ユーザ名が見えてしまう脆弱性は、重要ではないということですか? 私は、こっちの方が重大だと思いましたが?
サ: お客さまと弊社の認識のズレがあったようで申し訳ございません。弊社ではこのように判断したものです。
私: 今からでも遅くないので、ユーザ名が見えてしまう脆弱性も告知するべきではないですか?
サ: 最新版にアップデートしていただければ、そちらの問題も解消されますので。
私: つまり「闇改修」ということですか。定期点検の際にこっそり欠陥を直しておけば大丈夫だから客に告知はしないという、自動車の闇改修と同じじゃないですか。
サ: そのようなことはございません。更新履歴に書いております。
私: だから、SQLインジェクションとディレクトリトラバーサルと同じように、そこに加えて、ユーザ名が見える件も書けばいいのに、と言っているのですが。
サ: 繰り返しになりますが、弊社のセキュリティポリシーとして、セキュリティの情報を公表することは、お客さまにセキュリティの問題をもたらすことになると……
私: だから、なんでSQLインジェクションとディレクトリトラバーサルはトップページで告知するのかって聞いているわけですよ。危ないというなら、消したほうがいいんじゃないですか?
サ: SQLインジェクションとディレクトリトラバーサルについては、重要なことと捕らえまして……
私: だから、ユーザ名が見えてしまう脆弱性は重要じゃないから知らせる必要がないってことですか? って聞いているわけですよ。
サ: セキュリティの情報を公表することは、お客さまに……
(繰り返し)
私: SQLインジェクションとディレクトリトラバーサルの脆弱性は、「ユーザーが」とあるので、ログインした者にしか攻撃できないという意味ですよね?
サ: はいそうです。
私: 一方、ユーザの名前が見えてしまう脆弱性は、ログインしていなくても見えてしまうということですね。当然ながら。
サ: はい。
私: 私としては、SQLインジェクションもディレクトリトラバーサルも、緊急事態だとは思わなかったのですよ。なぜなら、うちのサイボウズを使っている他のユーザたちが、ログインしたうえでSQLインジェクションやディレクトリトラバーサルで攻撃するなんてことは、ないだろうと思ったからです。
サ: はい。
私: だから、最新版に入れ替える必要はないと思いましたよ。ところが、日経BPの記事を読むと、ログインしていなくてもユーザの名前が見えてしまう別の脆弱性もあるのだと。これで初めて、緊急事態だと思いましたが、あなたがたが告知しないから、この事態に気づかないままになるところでしたよ?
サ: 弊社のセキュリティポリシーとして、セキュリティの情報を公表することは、お客さまにセキュリティの問題を……
私: つまり、SQLインジェクションとディレクトリトラバーサルは、実際には危険な状況は少なめだから公表したけれども、ユーザ名は誰でも見えてしまう問題だから隠したということですか?
サ: 隠すということはございません。更新履歴での公表とするのが適切だというのが、当社のセキュリティポリシーです。
私: ところで、もう一件あるのですが、去年の3月に、「「クロスサイトスクリプティング脆弱性」の影響を受けることはありますか?」というFAQを出してらっしゃいますね? 「サイボウズ クロスサイト」でGoogle検索すれば見つかります。
(場所を説明している様子を略)
私: この脆弱性について告知をなさいましたか?
サ: 確認します。
私: それから、この脆弱性は修正されているのですか?
サ: 確認します。
私: 下の方に「警告画面を表示するよう、設定を変更することができる」とありますが、これはデフォルトでオフということですよね? 管理者が設定を変えてオンにしないとその警告は出ないのですよね。
サ: 確認します。こちらからかけなおします。
サ: この件については昨年、セキュリティ強化についてのメールマガジンを出しました。修正については、Office 6.5 で警告が出る機能を設けました。デフォルトはオフです。
私: つまり、直していないということですね?
サ: 直すといいますか、回避できるように警告が出る機能を設けました。
私: なぜ直さないのですか。
サ: 弊社の製品の問題ではなく、Internet Explorerの問題もありまして。
私: ブラウザのせいだというのですか? Yahoo!メールとかHotmailとかのWebメールは、HTMLメールを表示しますが、そのときに、スクリプトが含まれていたら排除するようにしているわけです。どこのWebメールもやっていますよ? サイボウズはWebメールでHTMLメール表示機能を追加したのに、スクリプト排除をやっていないわけです。指摘されても、直さず、警告機能を付けただけですか。
サ: ……。
私: 警告には何と書いてあるのですか? ユーザは、その警告で踏みとどまらずにHTMLメールを開くとどうなるか、理解できるのですか?
サ: 警告の内容については調べます。
私: しかもデフォルトでオフだから誰も警告機能をオンにしていないでしょ。告知をすることもなく、FAQにひっそりと書いているだけなんだから、誰も知らないでしょ。なぜ告知しないんですか。
サ: 弊社のセキュリティポリシーに沿って、脆弱性が見つかっても大きく取り上げて発表することはありません。
私: それがサイボウズ社のセキュリティポリシーなんですか?
サ: 昨年のそのときは、この対応でした。
私: 間違っていたのなら、今からでも遅くないので告知したほうがよいのではないですか?
サ: サイボウズ社としては表記等を変更をしないという見解です。
私: なぜですか?
サ: さきほどと同じで、公開することによるお客さまへの影響範囲と深刻さから判断して、どういった媒体がよいかと判断しています。
私: つまり、FAQが適切な媒体だということですか?
サ: セキュリティの強化がされたというメールマガジンを出しました。
私: そのメールマガジンにどこがセキュリティの強化なのかは書いてあるのですか?
サ: どこがセキュリティの強化なのかは書いていません。
私: じゃあ、何を書いたというのですか。
サ: 個人情報保護対策で、アドレス帳とメール機能を強化したことを書いています。
私: メール機能の強化とは何のことですか?
サ: 更新履歴へのリンクを設けていました。
私: リンクがあるだけですか。リンク先に何が書いてあるのですか?
サ: 「受信メールの添付ファイルを開くときに警告表示を出すようにしました」ということが書いてあります。
私: デフォルトでオフなのに? 添付ファイルじゃないですよ。HTMLメールですよ? FAQへのリンクを示して告知しないと、誰も設定を変更しないでしょ。
サ: それは理解していますが、それが弊社のセキュリティポリシーです。
私: 今後も、サイボウズに脆弱性が見つかっても、影響範囲に応じで、告知しない場合があるということですか?
サ: 変更履歴に書いています。
私: 変更履歴なんか告知じゃないでしょ。去年のクロスサイトスクリプティング脆弱性で、警告機能を追加したことを変更履歴に書いたとき、その意味を説明したFAQへ、リンクしましたか?
サ: FAQへのリンクはございません。
私: じゃあ誰も読まないでしょ。
サ: 「サポート」というコーナーから見つけることができます。
私: そんなとこ誰が見るんですか。社員であり、おそらくユーザでもあるであろうあなたも、さっき調べるまでこれの存在を知らなかったわけなんだし。サーポートというのは実際に問題が出てから見に行くところですよね? 「よくある質問と答え」とおっしゃるけども、 「クロスサイトスクリプティング脆弱性の影響を受けることはありますか?」なんて質問が「よくある」わけないでしょ。知らなきゃ質問できないんだから。
サ: これが弊社の案内のポリシーです。
私: 脆弱性を気にする人は、FAQの全部に目を通せということですか?
サ: 当時のFAQに関してはそういう対応になっています。
私: これは間違いだったんじゃないですか?
サ: まああのー、この対応に関してもサイボウズ社の中での方針というかポリシーとしてそういう公開のしかたにさせていただいたものです。
私: 今後も同じことをするんですか? と聞いているわけです。
サ: そこに関しては、あくまでも脆弱性が発見されたところではお客さまへの告知は必要だと考えています。公開することによって既存のお客さまに危険を与えてしまうという箇所に関しましては、大々的に公開するかどうかというところについては社内にて検討させていただくということになります。隠すということについては、弊社としては、変更履歴に記載することであくまでも隠しているというつもりはないといことで、ご理解頂ければと。
私: もう一回だけ同じことを言います。脆弱性を気にする人は、FAQの全部に目を通さなくてはいけないのでしょうか?
サ: 今後に関しましては脆弱性が見つかった段階で、アナウンスをさせていただきますので。FAQを全部見る必要はありません。
私: 脆弱性を気にする人は、変更履歴の全てに目を通さなくてはいけないのでしょうか?
サ: ……………………………………。
サ: そうですね、今回の対応ですとそうなります。
私: で、去年のクロスサイトスクリプティングですけども、変更履歴を見ればわかるんですか? 対応が必要だということが、変更履歴を見ればわかるんですか?
サ: 去年の件については、変更履歴には明確に記述されていません。
私: では、去年の件は間違いだったということですか?
サ: 間違いというのはどういう?
私: こんな方法では不適切だったということですか?
サ: そうでございますね。不明瞭なところでお客さまにご迷惑をおかけしたということで、適切な表現ではなかったと考えております。
私: 今からでも遅くないので、告知するべきではないですか?
サ: 去年の内容に関してですか?
私: はい。
サ: 去年の内容をホームページのトップへということですか?
私: はい。
サ: 去年の内容をホームページのトップへということは予定しておりません。
私: 不適切だったって言ったじゃないですか。
サ: 変更履歴に記載するべきであったが、トップページに告知することは予定していません。
私: で、どうするんですか、これから。
サ: 脆弱性というものが見つかった際には、お客さまへの通知等は必要だと考えていまして、公表する内容に関しましては、お客様への影響範囲を考えまして、ホームページにするか、メールにするか、変更履歴、FAQのどの媒体に記載するのがよいか検討してまいります。
私: いや、この去年のはどうするんですか? と聞いているんです。
サ: これをホームページからリンクをはるということは考えていません。
私: 不適切でない、問題ないからですか?
サ: 変更履歴に載せるべきだったという意味で不適切とは言いました。
私: でですよ、今から変更履歴に載せるということが考えられますが、いまから去年のバージョンアップについて変更履歴を改定しても、誰も読みませんね?
サ: そうでございますね。
私: どうするんですか?
サ: ……………………………………。えとー、今後もFAQに関してですね、えとー、なにかあのー、表示等のアナウンスなどの変更をする予定はありません。
私: では、誰が警告の設定をオンにする必要性についてついて、気づけるのですか?
サ: 今の状況ですと、FAQをご覧になられた方ということになります。
私: では私が、FAQを見る必要があることについて、みなさんに伝えようと思います。よろしいですか?
サ: どういうふうにですか?
私: FAQに色々書いてあると。しかし設定はデフォルトでオフなので、自力でオンにしないといけない。なぜオンにする必要があるのかについて、みなさんに伝えます。ホームページ等を通じて。よろしいですか。
サ: どちらのホームページですか?
私: 個人のです。
サ: 個人のホームページでですか。
私: あなた方が伝えないなら、私から、「みなさん、オンにしないといけません。警告が出ても開いてはいけません。」ということをみんなに知らせるのが、社会正義だと思いますね。
サ: 個人のホームページでお知らせされることを、弊社が止めるとか止めないという権利はないと思いますので。
私: わかりました。
一般的に言うと、こうした「お客さま対応」窓口から問題点の指摘をした場合、指摘が判断能力のある部署に伝わらないことがある。その場で矛盾のない回答をすることばかりに注力して、対応から変えなければならないような指摘に耳を傾けないということが起きがちのように思う。そこで今回も、そういう状態になっているのではないかと問い、回答を繰り返すのではなく判断のできる人と話をさせて欲しいと話したが、「自分が責任持って対応する」とのことで、何度も時間をおいて折り返し電話をもらうことになった。したがって、「当社のセキュリティポリシーに従っている」というのは本当なのだろう。
サイボウズ社は技術者たちによって起業された若い会社だと聞いていたから、こういうポリシーになることは考えにくいことだった。非技術系営業マンの判断がこうした事態を一時的に招いただけならよいものの、本当に社の方針になっているのなら、もう、安心して使えない。なにしろ、悪用の現実性が高いものは告知してもらえないというのだから。
ちなみに、「サイボウズ青野の3日ボウズ日記: セキュリティに関するお知らせ」(8月29日)に、
基本的にはイントラネットで使うソフトであり、悪意ある攻撃を受けるケースは少ないかも知れませんが、見つかった脆弱性に対しては、迅速に対応していきたいと考えています。
と書かれているが、社外から直接サイボウズを使うようにしているところは少なくない。Googleで検索してみればサイボウズのログイン画面はたくさん出てくる。
ところで、去年、日経IT Proの「記者の眼」に次のコラムが出ていた。
「情報は公開している」というベンダーでも,信じられないくらい“深い”ディレクトリにセキュリティ情報ページを用意しているところもある。トップページからはとてもアクセスできないようなところに置いて,「情報を公開している」と言えるのだろうか。
あるベンダーの方からは,「どうして(わが社の製品の)セキュリティ・ホールの記事を書くのか分からない。一度,理由を聞きたいと思っている」という言葉をいただいたこともある。筆者としては,その製品のユーザーの一助になると思って記事を書いているのだが・・・。
広告で成り立っているマスコミはあてにならないのだろうか。
9月1日に続きあり。
高木浩光@自宅の日記 の 08月30日 付け記事、 「サイボウズが再び「闇改修」をしたので電話で抗議したが無駄骨だった」 にて、「本当に社の方針になっているのなら、 もう、 安心して使えない。」 (強