今年2月20日のこと、サイボウズOfficeに「簡単ログイン」機能があることに気づいた私は、以下の質問をサイボウズ社に送った。
「サイボウズ Office 8 ケータイ」の「簡単ログイン」機能についてお尋ねします。
「携帯端末認証に対応しているので、毎回ログインする手間なく利用できます」とのこと。試用版で試したところ、たしかに2度目以降はパスワードが不要のようです。
この機能は、いわゆる「契約者固有ID」を用いて実現しているものと理解していますが、「契約者固有ID」を用いて端末認証を行う場合、通常は、IPアドレス制限を行って、携帯電話事業者のゲートウェイのIPアドレスからのアクセスしか許さないように実装するものであると考えます。
しかしながら、「サイボウズ Office 8 ケータイ」はそうしたIPアドレス制限を施しておらず、一般のインターネット回線から telnet コマンド等で「契約者固有ID」を送信することで、携帯電話を使わずにパスワードなしでログインできてしまうことを確認しました。
(1) これはセキュリティ上の欠陥ですか、それとも仕様ですか?
(2) 仕様であるとすれば、なぜこのような仕様で安全性が保てるのですか?以上の2点についてお尋ねします。
なぜ、脆弱性として届け出るのでなしに、サイボウズ社に「これは仕様ですか?」と質問を投げかけたかというと、じつは、サイボウズOffice 8で確認したところ、サイボウズのログイン画面にアクセスするURLに、秘密キーが含まれる形になっていたからだった。
携帯電話からサイボウズOfficeにアクセスするには、サイボウズOfficeの設定画面で、そのユーザ専用のURLを携帯電話にメールで送信するようになっている。実際、私の自宅に設置したサイボウズOffice 8で、簡単ログイン用のURLを携帯電話にメール送信したところ、そのURLは以下のものであった。
http://202.〓〓.〓〓.〓〓/cgi-bin/cbag/k.exe?sa=BoRmRhMPJNjdgLiCfXMjpE(略)&lk=cdb44b39cff7731a73d28d637f(略)
つまり、このURLが漏れることがないのならば、乗っ取られることはない。しかし、このURLは本当に漏れることがないと言えるのだろうか。その点を尋ねたのであった。
サイボウズ社からはすぐに(2営業日後に)担当者から詳細な返事を頂いた。その内容は予想外のものだった。
なんと、サイボウズOffice 7の「簡単ログイン」では、URLにこのキーが含まれていないのだという。それだと完全に脆弱性である。しかし、それは私が言い出すまでもなく、最初のメールで担当者自らがそれを脆弱性と認め、「かんたんログイン利用に伴う危険性等について公開を検討する」という詳細な説明を頂いたのだった。
そこで私は、「それはたいへん良いことと思います。ぜひそうなさってください。」「IPA又はJPCERT/CCに届出されてはいかがでしょうか。」とお返事した。すると、JPCERT/CCへ届ける予定とのことだった。
そして今日、サイボウズから告知が出た。*1
書かれている対策を私なりに要約すると、
の、1.のみ、または1.と2.の両方を実施せよという意味だろう。
ここで問題となるのは、IPアドレス制限の方法である。これについてサイボウズは次のように説明している。
Web サーバーで、携帯電話からしかアクセスできないよう IPアドレス制限を行ってください。
Webサーバーで、IPアドレス制限をかける場合は、各携帯電話会社のホームページなどをご確認いただき、各携帯電話会社のサーバーのIPアドレス帯域からのアクセスのみ許可する設定をお願いいたします。
「簡単ログイン」機能の脆弱性【CY10-04-001】, サイボウズ, 2010年4月15日
つまり、サイボウズOfficeを購入した当人が自力で方法を調べてアクセス制限せよ、というのである。ぶっちゃけ、それは無理な話だ。
しかし、ここでサイボウズを責める気がしない。なぜなら、どうやったら確実にIPアドレス制限によるかんたんログイン対策が完遂できるものなのか、誰にもわからないからだ。携帯電話会社がいまだにそれを明らかにしていない。
サイボウズOffice本体のプログラムにIPアドレス制限の機能を組み込む解決策も考えられたはずだが、そのようにされなかったのは、携帯電話会社が「IPアドレス帯域」と称してどこかに掲載している情報は、たびたびアップデートされていて、自動的にアップデートする手段もないため、売り切り型のパッケージ製品であるサイボウズOfficeにとって、購入後まで利用者の面倒をみていられないということなのだと思う。
このように、特にパッケージ製品での「かんたんログイン」は、完全に破綻している。
現時点においては、パッケージ製品に「ケータイかんたんログイン」の機能が搭載されていたら、自動アップデートの案内でもない限り、安全でないものと疑ってかかるのがよいだろう。「携帯端末認証に対応しているので、かんたん・安心」といった謳い文句は大嘘だ。
サイボウズ社は、今回の告知に伴い、従来からあったFAQページ「外部からも、社内のサイボウズ製品にアクセスできるの?」に、以下の注意書きを加えている。
外部からのアクセスする場合の注意点
セキュリティ
(略)
「サイボウズ Office ケータイ」をご利用になる場合、アクセス元の IPアドレス制限を実施していない環境では、携帯電話の契約者固有 IDを知り得る立場で、ケータイログインページの URLがわかっている場合、簡単ログイン機能を利用し、外部のパソコンなどから、アクセスされる危険性がございます。
「サイボウズ Office ケータイ」をご利用になる場合は、弊社「サイボウズ リモートサービス」をご利用いただくか、Web サーバーで、携帯電話からしかアクセスできないよう IPアドレス制限を実施していただく事をおすすめいたします。
※「リモートサービス」では、IPアドレス制限を実施しております。
Webサーバーで、IPアドレス制限をかける場合は、各携帯電話会社のホームページなどをご確認いただき、各携帯電話会社のサーバーの IPアドレス帯域からのアクセスのみ許可する設定をお願いいたします。
簡単ログイン機能について
「サイボウズ Office 7 ケータイ」では、携帯電話の契約者固有 IDでの認証のみで認証を行っておりますが、「サイボウズ Office 8 ケータイ」では、セキュリティ強化のため、携帯電話の契約者固有 IDでの認証に加え、ケータイログインページの URLに自動的に付加したアクセスキーと「サイボウズ Office 8」で保持しているアクセスキーでの認証機能を追加しております。
こちらの認証により、パスワードを変更することで、アクセスキーが変更され、以前アクセスしていた古いアクセスキー付き URLからはアクセスできないようになっております。
「サイボウズ Office 7」をご利用のお客様は、「サイボウズ Office 8」へバージョンアップされる事をおすすめいたします。
※定期的にパスワードを変更されない場合は、「サイボウズ Office 8 ケータイ」であっても、携帯電話に保存した URLから、簡単ログインが可能ですので、ケータイログインページの URLを他人に知られないようご注意ください。
外部からも、社内のサイボウズ製品にアクセスできるの?, サイボウズお客様センター
ちなみに、「サイボウズ リモートサービス」というのは、携帯電話からの接続のみを受付ける制御を、サイボウズ社の中継サーバーが代理でやってくれるというものなのだが、このサービスについて、4月12日に以下の「重要なお知らせ」が出ていた。
「サイボウズ リモートサービス」のセキュリティ強化について
昨今のモバイル市場が広がる中、接続方法が多様化しております。
そのため、「サイボウズ リモートサービス」のセキュリティを強化を目的に次の変更を実施いたします。
何卒ご理解のほどよろしくお願い申し上げます。(略)
4、影響範囲
下記端末からリモートケータイ用 URL への接続が出来なくなります。
- iPhone
- Softbank X シリーズ
- イー・モバイル ケータイ
(略)
iPhone Safari へクライアント証明書をインポートしてパソコン用画面へアクセスする場合は制限の対象となりません。
これまではiPhoneやEMnetからのアクセスを許していたということなのだろうか……。
*1 ところで、この告知に気づいた人はどれだけいただろうか。http://cybozu.co.jp/products/の右メニューに「サイボウズ製品の脆弱性について」というリンクがあるのは評価できるが、製品のページhttp://products.cybozu.co.jp/office/の「重要なお知らせ」にはこの脆弱性についての告知が出ていない。「お知らせ一覧」というページがあるが、「重要なお知らせ」に出ていないし、一番下に「セキュリティ情報」というコーナーがあるものの、そこには「現在、セキュリティ情報はありません。」と出ている。