2010年04月15日
■ サイボウズOfficeも匙を投げた「簡単ログイン」
今年2月20日のこと、サイボウズOfficeに「簡単ログイン」機能があることに気づいた私は、以下の質問をサイボウズ社に送った。
「サイボウズ Office 8 ケータイ」の「簡単ログイン」機能についてお尋ねします。
「携帯端末認証に対応しているので、毎回ログインする手間なく利用できます」とのこと。試用版で試したところ、たしかに2度目以降はパスワードが不要のようです。
この機能は、いわゆる「契約者固有ID」を用いて実現しているものと理解していますが、「契約者固有ID」を用いて端末認証を行う場合、通常は、IPアドレス制限を行って、携帯電話事業者のゲートウェイのIPアドレスからのアクセスしか許さないように実装するものであると考えます。
しかしながら、「サイボウズ Office 8 ケータイ」はそうしたIPアドレス制限を施しておらず、一般のインターネット回線から telnet コマンド等で「契約者固有ID」を送信することで、携帯電話を使わずにパスワードなしでログインできてしまうことを確認しました。
(1) これはセキュリティ上の欠陥ですか、それとも仕様ですか?
(2) 仕様であるとすれば、なぜこのような仕様で安全性が保てるのですか?以上の2点についてお尋ねします。
なぜ、脆弱性として届け出るのでなしに、サイボウズ社に「これは仕様ですか?」と質問を投げかけたかというと、じつは、サイボウズOffice 8で確認したところ、サイボウズのログイン画面にアクセスするURLに、秘密キーが含まれる形になっていたからだった。
携帯電話からサイボウズOfficeにアクセスするには、サイボウズOfficeの設定画面で、そのユーザ専用のURLを携帯電話にメールで送信するようになっている。実際、私の自宅に設置したサイボウズOffice 8で、簡単ログイン用のURLを携帯電話にメール送信したところ、そのURLは以下のものであった。
http://202.〓〓.〓〓.〓〓/cgi-bin/cbag/k.exe?sa=BoRmRhMPJNjdgLiCfXMjpE(略)&lk=cdb44b39cff7731a73d28d637f(略)
つまり、このURLが漏れることがないのならば、乗っ取られることはない。しかし、このURLは本当に漏れることがないと言えるのだろうか。その点を尋ねたのであった。
サイボウズ社からはすぐに(2営業日後に)担当者から詳細な返事を頂いた。その内容は予想外のものだった。
なんと、サイボウズOffice 7の「簡単ログイン」では、URLにこのキーが含まれていないのだという。それだと完全に脆弱性である。しかし、それは私が言い出すまでもなく、最初のメールで担当者自らがそれを脆弱性と認め、「かんたんログイン利用に伴う危険性等について公開を検討する」という詳細な説明を頂いたのだった。
そこで私は、「それはたいへん良いことと思います。ぜひそうなさってください。」「IPA又はJPCERT/CCに届出されてはいかがでしょうか。」とお返事した。すると、JPCERT/CCへ届ける予定とのことだった。
そして今日、サイボウズから告知が出た。*1
- サイボウズ製品の脆弱性について > 「簡単ログイン」機能の脆弱性【CY10-04-001】, サイボウズ, 2010年4月15日
書かれている対策を私なりに要約すると、
- 「サイボウズ リモートサービス」を契約するか、さもなくば、サイボウズOfficeを稼働させるWebサーバにIPアドレス制限を施すこと。
- サイボウズOffice 7ケータイの利用者は、Office 8にバージョンアップする。(アクセス用URLに秘密キーが含まれている分、ましだから。)
の、1.のみ、または1.と2.の両方を実施せよという意味だろう。
ここで問題となるのは、IPアドレス制限の方法である。これについてサイボウズは次のように説明している。
Web サーバーで、携帯電話からしかアクセスできないよう IPアドレス制限を行ってください。
Webサーバーで、IPアドレス制限をかける場合は、各携帯電話会社のホームページなどをご確認いただき、各携帯電話会社のサーバーのIPアドレス帯域からのアクセスのみ許可する設定をお願いいたします。
「簡単ログイン」機能の脆弱性【CY10-04-001】, サイボウズ, 2010年4月15日
つまり、サイボウズOfficeを購入した当人が自力で方法を調べてアクセス制限せよ、というのである。ぶっちゃけ、それは無理な話だ。
しかし、ここでサイボウズを責める気がしない。なぜなら、どうやったら確実にIPアドレス制限によるかんたんログイン対策が完遂できるものなのか、誰にもわからないからだ。携帯電話会社がいまだにそれを明らかにしていない。
サイボウズOffice本体のプログラムにIPアドレス制限の機能を組み込む解決策も考えられたはずだが、そのようにされなかったのは、携帯電話会社が「IPアドレス帯域」と称してどこかに掲載している情報は、たびたびアップデートされていて、自動的にアップデートする手段もないため、売り切り型のパッケージ製品であるサイボウズOfficeにとって、購入後まで利用者の面倒をみていられないということなのだと思う。
このように、特にパッケージ製品での「かんたんログイン」は、完全に破綻している。
現時点においては、パッケージ製品に「ケータイかんたんログイン」の機能が搭載されていたら、自動アップデートの案内でもない限り、安全でないものと疑ってかかるのがよいだろう。「携帯端末認証に対応しているので、かんたん・安心」といった謳い文句は大嘘だ。
サイボウズ社は、今回の告知に伴い、従来からあったFAQページ「外部からも、社内のサイボウズ製品にアクセスできるの?」に、以下の注意書きを加えている。
外部からのアクセスする場合の注意点
セキュリティ
(略)
「サイボウズ Office ケータイ」をご利用になる場合、アクセス元の IPアドレス制限を実施していない環境では、携帯電話の契約者固有 IDを知り得る立場で、ケータイログインページの URLがわかっている場合、簡単ログイン機能を利用し、外部のパソコンなどから、アクセスされる危険性がございます。
「サイボウズ Office ケータイ」をご利用になる場合は、弊社「サイボウズ リモートサービス」をご利用いただくか、Web サーバーで、携帯電話からしかアクセスできないよう IPアドレス制限を実施していただく事をおすすめいたします。
※「リモートサービス」では、IPアドレス制限を実施しております。
Webサーバーで、IPアドレス制限をかける場合は、各携帯電話会社のホームページなどをご確認いただき、各携帯電話会社のサーバーの IPアドレス帯域からのアクセスのみ許可する設定をお願いいたします。
簡単ログイン機能について
「サイボウズ Office 7 ケータイ」では、携帯電話の契約者固有 IDでの認証のみで認証を行っておりますが、「サイボウズ Office 8 ケータイ」では、セキュリティ強化のため、携帯電話の契約者固有 IDでの認証に加え、ケータイログインページの URLに自動的に付加したアクセスキーと「サイボウズ Office 8」で保持しているアクセスキーでの認証機能を追加しております。
こちらの認証により、パスワードを変更することで、アクセスキーが変更され、以前アクセスしていた古いアクセスキー付き URLからはアクセスできないようになっております。
「サイボウズ Office 7」をご利用のお客様は、「サイボウズ Office 8」へバージョンアップされる事をおすすめいたします。
※定期的にパスワードを変更されない場合は、「サイボウズ Office 8 ケータイ」であっても、携帯電話に保存した URLから、簡単ログインが可能ですので、ケータイログインページの URLを他人に知られないようご注意ください。
外部からも、社内のサイボウズ製品にアクセスできるの?, サイボウズお客様センター
ちなみに、「サイボウズ リモートサービス」というのは、携帯電話からの接続のみを受付ける制御を、サイボウズ社の中継サーバーが代理でやってくれるというものなのだが、このサービスについて、4月12日に以下の「重要なお知らせ」が出ていた。
- 「サイボウズ リモートサービス」のセキュリティ強化について, サイボウズ ニュースサイト, 2010年4月12日
「サイボウズ リモートサービス」のセキュリティ強化について
昨今のモバイル市場が広がる中、接続方法が多様化しております。
そのため、「サイボウズ リモートサービス」のセキュリティを強化を目的に次の変更を実施いたします。
何卒ご理解のほどよろしくお願い申し上げます。(略)
4、影響範囲
下記端末からリモートケータイ用 URL への接続が出来なくなります。
- iPhone
- Softbank X シリーズ
- イー・モバイル ケータイ
(略)
iPhone Safari へクライアント証明書をインポートしてパソコン用画面へアクセスする場合は制限の対象となりません。
これまではiPhoneやEMnetからのアクセスを許していたということなのだろうか……。
関連
- ユニークIDがあれば認証ができるという幻想, 2010年4月11日の日記
- 著名優良サイトでもi モード2.0の脆弱性に対応していなかった。なぜか。, 2010年2月28日の日記
- はてなのかんたんログインがオッピロゲだった件, 2010年2月21日の日記
- 「iモードIDは取得していません」バナー、どうぞご利用ください。, 2010年3月16日の日記
*1 ところで、この告知に気づいた人はどれだけいただろうか。http://cybozu.co.jp/products/の右メニューに「サイボウズ製品の脆弱性について」というリンクがあるのは評価できるが、製品のページhttp://products.cybozu.co.jp/office/の「重要なお知らせ」にはこの脆弱性についての告知が出ていない。「お知らせ一覧」というページがあるが、「重要なお知らせ」に出ていないし、一番下に「セキュリティ情報」というコーナーがあるものの、そこには「現在、セキュリティ情報はありません。」と出ている。
- はてなブックマークコメント ×176 : 154, 9, 3, 2, 2, 1, 1, 1, 1, 1, 1 (2019-06-14)
- はてなダイアリー [Ivan_Wisky 20100421] ×9 (2018-02-21)
- INTERNET Watch ×239 : 208, 30, 1 (2017-03-17)
- https://www.bing.com/ ×9 (2016-09-23)
- セキュリティホールmemo ×1970 : 1505, 446, 11, 4, 4 (2015-11-04)
- https://www.google.co.jp ×62 (2015-08-20)
- http://websearch.rakuten.co.jp/?tool_id=1&rid=2000&ref=ie2_0... ×4 (2013-05-01)
- jcom.home.ne.jp [w3c] ×21 (2012-06-26)
- http://multi.nadenade.com/leafy/Manufactory/AdiaryPlus/2.11-... ×5 (2010-12-02)
- http://green.search.goo.ne.jp/search?MT=サイボウズ ログイン URL&bt_se... ×5 (2010-11-11)
- http://bakera.jp/ebi/topic/4054/comment ×5 (2010-07-01)
- http://joblog.ia-net.ad.jp/sbs/ ×4 (2010-06-10)
- http://ke-tai.org/blog/2009/07/31/kantansample/ ×6 (2010-04-26)
- http://puppet.asablo.jp/blog/2010/04/23/5036728 ×5 (2010-04-23)
- http://puppet.asablo.jp/blog/ ×15 (2010-04-23)
- ココログ [hski air] ×2 : 1, 1 (2010-04-18)
- ココログ [ponkotsu-antena cocolog] ×9 : 5, 4 (2010-04-17)
- Twitter [philsci] ×5 (2010-04-16)
- Tumblr [ivarnjk] ×4 (2010-04-16)
- Tumblr [shimon-yamada] ×13 (2010-04-16)
- http://knowledge.visionary.jp/sns/?m=pc&a=page_fh_diary&targ... ×7 (2010-04-16)
- http://sns.usagi-project.org/?m=pc&a=page_fh_diary&target_c_... ×9 (2010-04-16)
- はてなダイアリー [satoshis] ×9 (2010-04-16)
- http://feed-tv.com/285nLy.html ×39 (2010-04-16)
- はてなダイアリー [satoshis 20100416] ×14 (2010-04-16)
- サイボウズ ログイン ×385 / キーワード不明 ×231 / サイボウズ ログイン URL ×95 / サイボウズ ×81 / サイボウズ ログイン画面 ×76 / 簡単ログイン ×34 / サイボウズ 自動ログイン ×33 / iphone 簡単ログイン ×31 / サイボウズ 携帯 ×30 / サイボウズ8 ログイン ×28 / サイボウズ ログイン Office ×27 / サイボウズ office ×25 / かんたんログイン ×25 / サイボウズ ログイン 画面 ×23 / サイボウズ10 ログイン ×22 / サイボウズoffice ログイン ×22 / サイボウズ office8 ログイン ×21 / サイボウズ 安全性 ×19 / サイボウズ Office ×19 / 携帯電話 簡単ログイン ×18 / サイボウズオフィス ログイン ×18 / 高木浩光 かんたんアクセス ×18 / サイボウズ 自宅 ×18 / サイボウズ オフィス ログイン ×16 / かんたんログイン 高木 ×15 / サイボウズ 携帯 URL ×15 / かんたんログイン セキュリティ ×15 / iphone かんたんログイン ×15 / サイボウズ ログイン office ×14 / 簡単ログイン セキュリティ ×13 / サイボウズ 簡単ログイン ×13 / サイボウズログイン画面 ×12 / サイボウズ 外部アクセス ×12 / サイボウズ ログイン office8 ×10 / サイボウズOffice ×9 / サイボウズ ログイン できない ×9 / サイボウズ ログイン office10 ×9 / サイボウズ ログイン 自動 ×9 / サイボウズ 認証 ×9 / サイボウズ アクセス制限 ×8 / 簡単ログイン 高木 ×8 / サイボウズ7 ログイン ×8 / サイボウズoffice ×8 / かんたんログイン 対策 ×8 / サイボウズ ログイン 自宅 ×8 / サイボウズ 10 ×7 / サイボウズ パスワード 解析 ×7 / 簡単ログイン iphone ×7 / サイボウズ ログインできない ×7 / 携帯 簡単ログイン セキュリティ ×7 / ログイン サイボウズ ×7 / iPhone 簡単ログイン ×7 / 携帯電話 かんたんログイン ×7 / サイボウズ 危険 ×7 / one office ログイン ×7 / 簡単ログイン IP制限 ×6 / サイボウズ ログイン 10 ×6 / サイボウズ9 ログイン ×6 / サイボウズログイン ×6 / サイボウズ 外部 ×6 / かんたんログイン サイボウズ ×6 / サイボウズ url ×6 / サイボウズ 脆弱性 ×5 / サイボウズ 自宅から ×5 / かんたんログイン iphone ×5 / cybozu ログイン ×5 / サイボウズ office ログイン ×5 / サイボウズ 自宅 ログイン ×5 / 高木浩光 簡単ログイン ×5 / サイボウズ 携帯電話 ×5 / 高木浩光 かんたんログイン ×5 / サイボウズ 高木 ×5 / サイボウズ office10 ログイン ×5 / office ×5 / サイボウズ URL ×5 / サイボウズ 外部公開 ×5 / サイボウズ ログインURL ×5 / サイボーズ ログイン ×5 / iphone サイボウズ ログイン ×4 / サイボウズ 端末認証 ×4 / サイボウズ認証 ×4 / サイボウズ アクセスURL ×4 / サイボウズ ログイン office9 ×4 / サイボウズ パスワード解析 ×4 / サイボウズ ログイン パスワード ×4 / 携帯 サイボウズ ×4 / サイボウズoffice8 ログイン ×4 / サイボウズ ログイン 8 ×4 / サイボウズ 外部 アクセス ×4 / サイボウズ office プッシュ ×4 / サイボウズ8 自動ログイン ×4 / サイボウズ IP制限 ×4 / かんたんログイン IP制限 ×4 / かんたんログイン 脆弱性 ×4 / サイボウズoffice ログイン画面 ×4 / サイボウズOFFICE9 自動ログイン ×4 / サイボウズ オートログイン ×4 / サイボウズ URL ログイン ×4 / サイボウズOffice 認証 ×4 / サイボウズoffice10 ログイン ×4 / サイボウズ 外部からアクセス ×3 / サイボウズ iphone 証明書 ×3 / サイボウズ ケータイ セキュリティ ×3 / 簡単ログイン 設定URL ×3 / サイボウズオフィス ログイン画面 ×3 / サイボウズ Office ログイン ×3 / 自宅でサイボーズを利用 ×3 / サイボウズ 自動ログイン iphone ×3 / 匙 ×3 / サイボウズ office 8 携帯からアクセス ×3 / サイボウズ さじを投げた ×3 / サイボウズOfficeQ ×3 / iPhone かんたんログイン ×3 / サイボウズ オフィス ×3 / サイボウズ ログインID ×3 / 簡単ログインの危険性 ×3 / 簡単ログイン サイボウズ ×3 / 高木浩光 サイボウズ ×3 / 簡単ログイン 脆弱性 ×3 / サイボウズ かんたんログイン ×3 / サイボウズ office4 2010年 ×3 / サイボーズログイン ×3 / サイボウズ office7 ログイン ×3 / サイボウズ8 ログイン ×3 / サイボウズ 自宅でログイン ×3 / サイボウズ 携帯 設定 ×3 / サイボウズ 危険性 ×3 / サイボウズオフィス ×3 / サイボウズ パスワード ×3 / 高木浩光 IPアドレス ×3 / サイボウズ7 ログイン ×3 / サイボウズ ログイン 自動化 ×3 / サイボーズ8 外部pc インターネット接続 ×3 / サイボウズoffice0 ×3 / サイボウズ 家でログイン ×3 / サイボウズoffice10 ×3 / サイボウズ 外部アドレス ×3 / アクセス制限 かんたんログイン ×3 / サイボウズ10 ×3 / サイボウズ ログイン url ×2 / 自宅 サイボウズ ×2 / サイボウズ 外部からのアクセス ×2 / 高木 簡単ログイン ×2 / サイボウズ office8を他のパソコンで開くには ×2 / サイボウズoffice10 ログインページ ×2 / サイボウズ パスワード 保存 ×2 / 会社 サイボウズ office ログイン ×2 / Cybozu セキュリティ 安全性 ×2 / かんたんログイン 危険 ×2 / サイボウズ ログインurl ×2 / サイボウズ モバイル セキュリティー ×2 / サイボウズoffice8ログイン ×2 / 自動ログイン サイボウズ ×2 / サイボウズ office 10 カスタマイズ ×2 / 携帯電話 かんたんログイン パスワード保存 ×2 / かんたんログイン iPhone ×2 / サイボウズ ケータイ Office 7 ×2 / 携帯 IPアドレス 帯域 自動 ×2 / サイボウズ ログイン方法 ×2 / 高木 かんたんログイン ×2 / サイボウズ パスワード 記憶 ×2 / サイボウズ アクセスurl ×2 / サイボウズ office7 iphone ×2 / サイボウズ 8ログイン ×2 / サイボウズ10 ログイン ×2 / サイボウズ office セキュリティ ×2 / サイボウズ リモートアクセス ×2 / サイボウズ https ×2 / サイボウズ アドレス ×2 / サイボウズ ログイン 省略 ×2 / サイボウズの安全性 ×2 / 簡単ログイン 危険性 ×2 / サイボウズ 自動 ログイン ×2 / サイボウズ ケータイ ログイン ×2 / サイボウズ 携帯 ログイン ×2 / サイボウズ 外部 ログイン ×2 / サイボウズ php 自動ログイン ×2 / cybozu 自動ログイン ×2 / サイボウズ office8 自動ログイン ×2 / サイボウズ プログラムから ログイン ×2 / サイボウズ8 ログイン情報の保持 ×2 / サイボウズ セキュリティ ×2 / サイボウズ 自宅からアクセス ×2 / サイボーズ アクセス ログイン ×2 / サイボウズoffice6 オートログイン ×2 / サイボウズ office8 認証URL ×2 / かんたんログイン ip ×2 / サイボウズ10 ログインできない ×2 / サイボウズオフィス09 パスワード ×2 / サイボウズ パスワード変更 ×2 / サイボウズ8 ログイン画面 ×2 / サイボウズログインパスワード解析ソフト ×2 / サイボウズ8ログイン ×2 / サイボウズ 利用 ×2 / サイボウズ Office 8 ログイン画面 ×2 / softbank ipアドレス 簡単ログイン ×2 / サイボウズログインできない ×2 / サイボウズ ログイン 保持 ×2 / ログイン ×2 / サイボウズを自宅で見る ×2 / かんたんログイン IPアドレス制限 ×2 / サイボウズ Office 4 シリーズ ×2 / サイボウズofficeログイン ×2 / サイボウズパスワード解析ソフト ×2 / サイボウズ 外部からログイン ×2 / かんたんログイン 脆弱性 解決策 ×2 / サイボウズ 携帯 アクセス ×2 / サイボウズ Office ログイン 画面 ×2 / Cybouz office4 脆弱性 ×2 / サイボウズoffice8 自動ログイン ×2 / サイボウズ ログイン 記憶 ×2 / サイボウズ 携帯 セキュリティ ×2 / サイボウズ 家で ×2 / 携帯 かんたんログイン ×2 / サイボウズ ケータイ ×2 / サイボウズオフィス メール ×2 / サイボウズ 携帯 自動ログインurl ×2 / かんたん認証 脆弱性 ×2 / サイボウズ ログイン画面 省略 ×2 / サイボウズ セキュリティ強化 ×2 / サイボウズ office9 ログイン ×2 / サイボウズ Office 1 ×2 / サイボウズ ログイン ID ×2 / サイボウズ 7 ログイン ×2 / 簡単ログイン ip ×2 / 携帯端末 office ×2 / かんたんログイン セキュリティ 高木 ×2 / サイボウズ yrl ×2 / サイボウズ 外部から アクセス ×2 / サイボウズ Office ケータイ 接続不可 ×2 / 安全性 サイボウズリモートサービス ×2 / サイボウズ9 ログインパスワード保存しない ×2 / サイボウズ ログインページ ×2 / サイボウズ office8 携帯 ×2 / サイボウズ 他人 ログイン 会社 ×2 / サイボウズのログイン画面 ×2 / サイボウズ製品への接続が許可されていません ×2 / サイボウズ office8 外部からアクセス ×2 / サイボウズ リモートサービス 安全性 ×2 / 匙を投げ ×2 / サイボウズ9 ログイン画面 ×2 / サイボウズ 外から ×2 / Office ×2 / 簡単ログイン セキュリティー ×2 / サイボウズ クラック ×2 / 高木 携帯 認証 ×2 / サイボウズoffice 自宅 ×2 / サイボウズ 自宅で確認 ×2 / サイボウズ 会社 外からログイン ×2 / サイボウズ 自宅で ×2