2010年04月15日
■ サイボウズOfficeも匙を投げた「簡単ログイン」
今年2月20日のこと、サイボウズOfficeに「簡単ログイン」機能があることに気づいた私は、以下の質問をサイボウズ社に送った。
「サイボウズ Office 8 ケータイ」の「簡単ログイン」機能についてお尋ねします。
「携帯端末認証に対応しているので、毎回ログインする手間なく利用できます」とのこと。試用版で試したところ、たしかに2度目以降はパスワードが不要のようです。
この機能は、いわゆる「契約者固有ID」を用いて実現しているものと理解していますが、「契約者固有ID」を用いて端末認証を行う場合、通常は、IPアドレス制限を行って、携帯電話事業者のゲートウェイのIPアドレスからのアクセスしか許さないように実装するものであると考えます。
しかしながら、「サイボウズ Office 8 ケータイ」はそうしたIPアドレス制限を施しておらず、一般のインターネット回線から telnet コマンド等で「契約者固有ID」を送信することで、携帯電話を使わずにパスワードなしでログインできてしまうことを確認しました。
(1) これはセキュリティ上の欠陥ですか、それとも仕様ですか?
(2) 仕様であるとすれば、なぜこのような仕様で安全性が保てるのですか?以上の2点についてお尋ねします。
なぜ、脆弱性として届け出るのでなしに、サイボウズ社に「これは仕様ですか?」と質問を投げかけたかというと、じつは、サイボウズOffice 8で確認したところ、サイボウズのログイン画面にアクセスするURLに、秘密キーが含まれる形になっていたからだった。
携帯電話からサイボウズOfficeにアクセスするには、サイボウズOfficeの設定画面で、そのユーザ専用のURLを携帯電話にメールで送信するようになっている。実際、私の自宅に設置したサイボウズOffice 8で、簡単ログイン用のURLを携帯電話にメール送信したところ、そのURLは以下のものであった。
http://202.〓〓.〓〓.〓〓/cgi-bin/cbag/k.exe?sa=BoRmRhMPJNjdgLiCfXMjpE(略)&lk=cdb44b39cff7731a73d28d637f(略)
つまり、このURLが漏れることがないのならば、乗っ取られることはない。しかし、このURLは本当に漏れることがないと言えるのだろうか。その点を尋ねたのであった。
サイボウズ社からはすぐに(2営業日後に)担当者から詳細な返事を頂いた。その内容は予想外のものだった。
なんと、サイボウズOffice 7の「簡単ログイン」では、URLにこのキーが含まれていないのだという。それだと完全に脆弱性である。しかし、それは私が言い出すまでもなく、最初のメールで担当者自らがそれを脆弱性と認め、「かんたんログイン利用に伴う危険性等について公開を検討する」という詳細な説明を頂いたのだった。
そこで私は、「それはたいへん良いことと思います。ぜひそうなさってください。」「IPA又はJPCERT/CCに届出されてはいかがでしょうか。」とお返事した。すると、JPCERT/CCへ届ける予定とのことだった。
そして今日、サイボウズから告知が出た。*1
- サイボウズ製品の脆弱性について > 「簡単ログイン」機能の脆弱性【CY10-04-001】, サイボウズ, 2010年4月15日
書かれている対策を私なりに要約すると、
- 「サイボウズ リモートサービス」を契約するか、さもなくば、サイボウズOfficeを稼働させるWebサーバにIPアドレス制限を施すこと。
- サイボウズOffice 7ケータイの利用者は、Office 8にバージョンアップする。(アクセス用URLに秘密キーが含まれている分、ましだから。)
の、1.のみ、または1.と2.の両方を実施せよという意味だろう。
ここで問題となるのは、IPアドレス制限の方法である。これについてサイボウズは次のように説明している。
Web サーバーで、携帯電話からしかアクセスできないよう IPアドレス制限を行ってください。
Webサーバーで、IPアドレス制限をかける場合は、各携帯電話会社のホームページなどをご確認いただき、各携帯電話会社のサーバーのIPアドレス帯域からのアクセスのみ許可する設定をお願いいたします。
「簡単ログイン」機能の脆弱性【CY10-04-001】, サイボウズ, 2010年4月15日
つまり、サイボウズOfficeを購入した当人が自力で方法を調べてアクセス制限せよ、というのである。ぶっちゃけ、それは無理な話だ。
しかし、ここでサイボウズを責める気がしない。なぜなら、どうやったら確実にIPアドレス制限によるかんたんログイン対策が完遂できるものなのか、誰にもわからないからだ。携帯電話会社がいまだにそれを明らかにしていない。
サイボウズOffice本体のプログラムにIPアドレス制限の機能を組み込む解決策も考えられたはずだが、そのようにされなかったのは、携帯電話会社が「IPアドレス帯域」と称してどこかに掲載している情報は、たびたびアップデートされていて、自動的にアップデートする手段もないため、売り切り型のパッケージ製品であるサイボウズOfficeにとって、購入後まで利用者の面倒をみていられないということなのだと思う。
このように、特にパッケージ製品での「かんたんログイン」は、完全に破綻している。
現時点においては、パッケージ製品に「ケータイかんたんログイン」の機能が搭載されていたら、自動アップデートの案内でもない限り、安全でないものと疑ってかかるのがよいだろう。「携帯端末認証に対応しているので、かんたん・安心」といった謳い文句は大嘘だ。
サイボウズ社は、今回の告知に伴い、従来からあったFAQページ「外部からも、社内のサイボウズ製品にアクセスできるの?」に、以下の注意書きを加えている。
外部からのアクセスする場合の注意点
セキュリティ
(略)
「サイボウズ Office ケータイ」をご利用になる場合、アクセス元の IPアドレス制限を実施していない環境では、携帯電話の契約者固有 IDを知り得る立場で、ケータイログインページの URLがわかっている場合、簡単ログイン機能を利用し、外部のパソコンなどから、アクセスされる危険性がございます。
「サイボウズ Office ケータイ」をご利用になる場合は、弊社「サイボウズ リモートサービス」をご利用いただくか、Web サーバーで、携帯電話からしかアクセスできないよう IPアドレス制限を実施していただく事をおすすめいたします。
※「リモートサービス」では、IPアドレス制限を実施しております。
Webサーバーで、IPアドレス制限をかける場合は、各携帯電話会社のホームページなどをご確認いただき、各携帯電話会社のサーバーの IPアドレス帯域からのアクセスのみ許可する設定をお願いいたします。
簡単ログイン機能について
「サイボウズ Office 7 ケータイ」では、携帯電話の契約者固有 IDでの認証のみで認証を行っておりますが、「サイボウズ Office 8 ケータイ」では、セキュリティ強化のため、携帯電話の契約者固有 IDでの認証に加え、ケータイログインページの URLに自動的に付加したアクセスキーと「サイボウズ Office 8」で保持しているアクセスキーでの認証機能を追加しております。
こちらの認証により、パスワードを変更することで、アクセスキーが変更され、以前アクセスしていた古いアクセスキー付き URLからはアクセスできないようになっております。
「サイボウズ Office 7」をご利用のお客様は、「サイボウズ Office 8」へバージョンアップされる事をおすすめいたします。
※定期的にパスワードを変更されない場合は、「サイボウズ Office 8 ケータイ」であっても、携帯電話に保存した URLから、簡単ログインが可能ですので、ケータイログインページの URLを他人に知られないようご注意ください。
外部からも、社内のサイボウズ製品にアクセスできるの?, サイボウズお客様センター
ちなみに、「サイボウズ リモートサービス」というのは、携帯電話からの接続のみを受付ける制御を、サイボウズ社の中継サーバーが代理でやってくれるというものなのだが、このサービスについて、4月12日に以下の「重要なお知らせ」が出ていた。
- 「サイボウズ リモートサービス」のセキュリティ強化について, サイボウズ ニュースサイト, 2010年4月12日
「サイボウズ リモートサービス」のセキュリティ強化について
昨今のモバイル市場が広がる中、接続方法が多様化しております。
そのため、「サイボウズ リモートサービス」のセキュリティを強化を目的に次の変更を実施いたします。
何卒ご理解のほどよろしくお願い申し上げます。(略)
4、影響範囲
下記端末からリモートケータイ用 URL への接続が出来なくなります。
- iPhone
- Softbank X シリーズ
- イー・モバイル ケータイ
(略)
iPhone Safari へクライアント証明書をインポートしてパソコン用画面へアクセスする場合は制限の対象となりません。
これまではiPhoneやEMnetからのアクセスを許していたということなのだろうか……。
関連
- ユニークIDがあれば認証ができるという幻想, 2010年4月11日の日記
- 著名優良サイトでもi モード2.0の脆弱性に対応していなかった。なぜか。, 2010年2月28日の日記
- はてなのかんたんログインがオッピロゲだった件, 2010年2月21日の日記
- 「iモードIDは取得していません」バナー、どうぞご利用ください。, 2010年3月16日の日記
*1 ところで、この告知に気づいた人はどれだけいただろうか。http://cybozu.co.jp/products/の右メニューに「サイボウズ製品の脆弱性について」というリンクがあるのは評価できるが、製品のページhttp://products.cybozu.co.jp/office/の「重要なお知らせ」にはこの脆弱性についての告知が出ていない。「お知らせ一覧」というページがあるが、「重要なお知らせ」に出ていないし、一番下に「セキュリティ情報」というコーナーがあるものの、そこには「現在、セキュリティ情報はありません。」と出ている。
- はてなブックマークコメント ×176 : 154, 9, 3, 2, 2, 1, 1, 1, 1, 1, 1 (2019-06-14)
- はてなダイアリー [Ivan_Wisky 20100421] ×9 (2018-02-21)
- INTERNET Watch ×239 : 208, 30, 1 (2017-03-17)
- https://www.bing.com/ ×9 (2016-09-23)
- セキュリティホールmemo ×1970 : 1505, 446, 11, 4, 4 (2015-11-04)
- https://www.google.co.jp ×62 (2015-08-20)
- http://websearch.rakuten.co.jp/?tool_id=1&rid=2000&ref=ie2_0... ×4 (2013-05-01)
- jcom.home.ne.jp [w3c] ×21 (2012-06-26)
- http://multi.nadenade.com/leafy/Manufactory/AdiaryPlus/2.11-... ×5 (2010-12-02)
- http://green.search.goo.ne.jp/search?MT=サイボウズ ログイン URL&bt_se... ×5 (2010-11-11)
- http://bakera.jp/ebi/topic/4054/comment ×5 (2010-07-01)
- http://joblog.ia-net.ad.jp/sbs/ ×4 (2010-06-10)
- http://ke-tai.org/blog/2009/07/31/kantansample/ ×6 (2010-04-26)
- http://puppet.asablo.jp/blog/2010/04/23/5036728 ×5 (2010-04-23)
- http://puppet.asablo.jp/blog/ ×15 (2010-04-23)
- ココログ [hski air] ×2 : 1, 1 (2010-04-18)
- ココログ [ponkotsu-antena cocolog] ×9 : 5, 4 (2010-04-17)
- Twitter [philsci] ×5 (2010-04-16)
- Tumblr [ivarnjk] ×4 (2010-04-16)
- Tumblr [shimon-yamada] ×13 (2010-04-16)
- http://knowledge.visionary.jp/sns/?m=pc&a=page_fh_diary&targ... ×7 (2010-04-16)
- http://sns.usagi-project.org/?m=pc&a=page_fh_diary&target_c_... ×9 (2010-04-16)
- はてなダイアリー [satoshis] ×9 (2010-04-16)
- http://feed-tv.com/285nLy.html ×39 (2010-04-16)
- はてなダイアリー [satoshis 20100416] ×14 (2010-04-16)
- サイボウズ ログイン ×385 / キーワード不明 ×231 / サイボウズ ログイン URL ×95 / サイボウズ ×81 / サイボウズ ログイン画面 ×76 / 簡単ログイン ×34 / サイボウズ 自動ログイン ×33 / iphone 簡単ログイン ×31 / サイボウズ 携帯 ×30 / サイボウズ8 ログイン ×28 / サイボウズ ログイン Office ×27 / サイボウズ office ×25 / かんたんログイン ×25 / サイボウズ ログイン 画面 ×23 / サイボウズoffice ログイン ×22 / サイボウズ10 ログイン ×22 / サイボウズ office8 ログイン ×21 / サイボウズ 安全性 ×19 / サイボウズ Office ×19 / 携帯電話 簡単ログイン ×18 / サイボウズオフィス ログイン ×18 / サイボウズ 自宅 ×18 / 高木浩光 かんたんアクセス ×18 / サイボウズ オフィス ログイン ×16 / かんたんログイン 高木 ×15 / かんたんログイン セキュリティ ×15 / サイボウズ 携帯 URL ×15 / iphone かんたんログイン ×15 / サイボウズ ログイン office ×14 / 簡単ログイン セキュリティ ×13 / サイボウズ 簡単ログイン ×13 / サイボウズ 外部アクセス ×12 / サイボウズログイン画面 ×12 / サイボウズ ログイン office8 ×10 / サイボウズOffice ×9 / サイボウズ 認証 ×9 / サイボウズ ログイン できない ×9 / サイボウズ ログイン 自動 ×9 / サイボウズ ログイン office10 ×9 / サイボウズ ログイン 自宅 ×8 / サイボウズ アクセス制限 ×8 / かんたんログイン 対策 ×8 / サイボウズ7 ログイン ×8 / サイボウズoffice ×8 / 簡単ログイン 高木 ×8 / 携帯 簡単ログイン セキュリティ ×7 / 簡単ログイン iphone ×7 / サイボウズ 10 ×7 / サイボウズ ログインできない ×7 / one office ログイン ×7 / ログイン サイボウズ ×7 / サイボウズ 危険 ×7 / iPhone 簡単ログイン ×7 / 携帯電話 かんたんログイン ×7 / サイボウズ パスワード 解析 ×7 / サイボウズ 外部 ×6 / サイボウズ ログイン 10 ×6 / かんたんログイン サイボウズ ×6 / サイボウズログイン ×6 / サイボウズ9 ログイン ×6 / 簡単ログイン IP制限 ×6 / サイボウズ url ×6 / 高木浩光 簡単ログイン ×5 / サイボウズ 高木 ×5 / サイボウズ 携帯電話 ×5 / サイボウズ URL ×5 / サイボウズ 自宅から ×5 / office ×5 / 高木浩光 かんたんログイン ×5 / かんたんログイン iphone ×5 / サイボウズ 自宅 ログイン ×5 / サイボウズ office10 ログイン ×5 / サイボウズ office ログイン ×5 / サイボウズ ログインURL ×5 / cybozu ログイン ×5 / サイボーズ ログイン ×5 / サイボウズ 外部公開 ×5 / サイボウズ 脆弱性 ×5 / サイボウズOffice 認証 ×4 / サイボウズoffice8 ログイン ×4 / サイボウズ ログイン パスワード ×4 / サイボウズ 端末認証 ×4 / かんたんログイン IP制限 ×4 / サイボウズ URL ログイン ×4 / サイボウズoffice10 ログイン ×4 / サイボウズ8 自動ログイン ×4 / サイボウズoffice ログイン画面 ×4 / サイボウズ ログイン 8 ×4 / 携帯 サイボウズ ×4 / サイボウズ パスワード解析 ×4 / サイボウズ認証 ×4 / サイボウズOFFICE9 自動ログイン ×4 / サイボウズ IP制限 ×4 / サイボウズ office プッシュ ×4 / iphone サイボウズ ログイン ×4 / サイボウズ オートログイン ×4 / サイボウズ アクセスURL ×4 / サイボウズ 外部 アクセス ×4 / かんたんログイン 脆弱性 ×4 / サイボウズ ログイン office9 ×4 / サイボウズオフィス ×3 / サイボウズ かんたんログイン ×3 / サイボウズオフィス ログイン画面 ×3 / サイボウズ office 8 携帯からアクセス ×3 / 簡単ログイン サイボウズ ×3 / 簡単ログイン 設定URL ×3 / 自宅でサイボーズを利用 ×3 / サイボウズ iphone 証明書 ×3 / サイボウズ 自動ログイン iphone ×3 / サイボウズoffice0 ×3 / サイボウズ 危険性 ×3 / サイボウズ 家でログイン ×3 / サイボウズ ログインID ×3 / サイボウズ 携帯 設定 ×3 / サイボーズ8 外部pc インターネット接続 ×3 / サイボウズ さじを投げた ×3 / サイボウズ10 ×3 / サイボウズ ケータイ セキュリティ ×3 / サイボウズ Office ログイン ×3 / サイボウズ パスワード ×3 / サイボウズ7 ログイン ×3 / サイボウズ office4 2010年 ×3 / アクセス制限 かんたんログイン ×3 / サイボウズ8 ログイン ×3 / 高木浩光 サイボウズ ×3 / 高木浩光 IPアドレス ×3 / サイボウズ 外部アドレス ×3 / iPhone かんたんログイン ×3 / 簡単ログインの危険性 ×3 / サイボウズ 外部からアクセス ×3 / サイボウズOfficeQ ×3 / サイボウズ オフィス ×3 / サイボウズ 自宅でログイン ×3 / 匙 ×3 / サイボーズログイン ×3 / サイボウズ ログイン 自動化 ×3 / サイボウズ office7 ログイン ×3 / 簡単ログイン 脆弱性 ×3 / サイボウズoffice10 ×3 / 携帯 かんたんログイン ×2 / サイボウズ8ログイン ×2 / サイボウズ製品への接続が許可されていません ×2 / サイボウズ パスワード 保存 ×2 / cybozu 自動ログイン ×2 / サイボウズ 7 ログイン ×2 / サイボウズを自宅で見る ×2 / 簡単ログイン ip ×2 / サイボウズoffice10 ログインページ ×2 / サイボウズ ログイン 記憶 ×2 / サイボウズ Office 1 ×2 / 高木 簡単ログイン ×2 / 携帯 IPアドレス 帯域 自動 ×2 / かんたんログイン IPアドレス制限 ×2 / softbank ipアドレス 簡単ログイン ×2 / かんたんログイン 危険 ×2 / サイボウズ 自動 ログイン ×2 / サイボウズ リモートサービス 安全性 ×2 / サイボウズ yrl ×2 / サイボウズ 携帯 セキュリティ ×2 / サイボウズ 家で ×2 / サイボウズ リモートアクセス ×2 / サイボウズ office 10 カスタマイズ ×2 / サイボウズoffice8ログイン ×2 / サイボウズoffice 自宅 ×2 / サイボウズ 携帯 ログイン ×2 / サイボウズoffice6 オートログイン ×2 / サイボウズ ログインページ ×2 / サイボウズのログイン画面 ×2 / かんたんログイン iPhone ×2 / サイボウズ ケータイ ログイン ×2 / サイボウズ9 ログイン画面 ×2 / サイボウズ Office ケータイ 接続不可 ×2 / サイボウズ 会社 外からログイン ×2 / サイボウズ クラック ×2 / サイボウズ 自宅で確認 ×2 / サイボウズ office セキュリティ ×2 / 高木 かんたんログイン ×2 / サイボウズ Office 8 ログイン画面 ×2 / かんたんログイン 脆弱性 解決策 ×2 / サイボウズ セキュリティ強化 ×2 / サイボウズ アクセスurl ×2 / サイボウズパスワード解析ソフト ×2 / サイボウズ ログイン 保持 ×2 / サイボウズの安全性 ×2 / サイボウズ office8 認証URL ×2 / サイボウズ 他人 ログイン 会社 ×2 / サイボウズ 携帯 アクセス ×2 / サイボウズ 携帯 自動ログインurl ×2 / サイボウズ 外部から アクセス ×2 / ログイン ×2 / サイボウズオフィス メール ×2 / サイボウズ ケータイ ×2 / サイボウズ php 自動ログイン ×2 / かんたんログイン ip ×2 / サイボウズ ログイン方法 ×2 / サイボウズ office8を他のパソコンで開くには ×2 / 簡単ログイン 危険性 ×2 / サイボウズ ログイン url ×2 / サイボウズofficeログイン ×2 / サイボウズ 外から ×2 / 自動ログイン サイボウズ ×2 / サイボウズ 利用 ×2 / サイボウズ ケータイ Office 7 ×2 / 携帯電話 かんたんログイン パスワード保存 ×2 / サイボウズ 外部 ログイン ×2 / サイボウズ セキュリティ ×2 / サイボウズ10 ログイン ×2 / サイボウズ https ×2 / 簡単ログイン セキュリティー ×2 / かんたん認証 脆弱性 ×2 / サイボウズログインパスワード解析ソフト ×2 / 携帯端末 office ×2 / サイボウズ ログインurl ×2 / サイボウズ プログラムから ログイン ×2 / サイボウズ10 ログインできない ×2 / サイボウズ office7 iphone ×2 / サイボウズ パスワード変更 ×2 / Cybozu セキュリティ 安全性 ×2 / サイボウズ office8 外部からアクセス ×2 / サイボウズ office8 自動ログイン ×2 / 会社 サイボウズ office ログイン ×2 / サイボウズ 8ログイン ×2 / 安全性 サイボウズリモートサービス ×2 / サイボウズ office8 携帯 ×2 / サイボウズ ログイン ID ×2 / サイボウズ9 ログインパスワード保存しない ×2 / 自宅 サイボウズ ×2 / サイボウズオフィス09 パスワード ×2 / サイボウズ モバイル セキュリティー ×2 / サイボウズ ログイン 省略 ×2 / サイボウズ ログイン画面 省略 ×2 / Office ×2 / サイボウズ アドレス ×2 / サイボウズログインできない ×2 / サイボウズ office9 ログイン ×2 / サイボウズ 自宅からアクセス ×2 / サイボウズ 外部からログイン ×2 / Cybouz office4 脆弱性 ×2 / かんたんログイン セキュリティ 高木 ×2 / サイボウズ8 ログイン画面 ×2 / サイボウズ Office ログイン 画面 ×2 / 高木 携帯 認証 ×2 / サイボーズ アクセス ログイン ×2 / サイボウズ 自宅で ×2 / サイボウズ パスワード 記憶 ×2 / サイボウズ Office 4 シリーズ ×2 / 匙を投げ ×2 / サイボウズ 外部からのアクセス ×2 / サイボウズ8 ログイン情報の保持 ×2 / サイボウズoffice8 自動ログイン ×2