2010年04月15日
■ サイボウズOfficeも匙を投げた「簡単ログイン」
今年2月20日のこと、サイボウズOfficeに「簡単ログイン」機能があることに気づいた私は、以下の質問をサイボウズ社に送った。
「サイボウズ Office 8 ケータイ」の「簡単ログイン」機能についてお尋ねします。
「携帯端末認証に対応しているので、毎回ログインする手間なく利用できます」とのこと。試用版で試したところ、たしかに2度目以降はパスワードが不要のようです。
この機能は、いわゆる「契約者固有ID」を用いて実現しているものと理解していますが、「契約者固有ID」を用いて端末認証を行う場合、通常は、IPアドレス制限を行って、携帯電話事業者のゲートウェイのIPアドレスからのアクセスしか許さないように実装するものであると考えます。
しかしながら、「サイボウズ Office 8 ケータイ」はそうしたIPアドレス制限を施しておらず、一般のインターネット回線から telnet コマンド等で「契約者固有ID」を送信することで、携帯電話を使わずにパスワードなしでログインできてしまうことを確認しました。
(1) これはセキュリティ上の欠陥ですか、それとも仕様ですか?
(2) 仕様であるとすれば、なぜこのような仕様で安全性が保てるのですか?以上の2点についてお尋ねします。
なぜ、脆弱性として届け出るのでなしに、サイボウズ社に「これは仕様ですか?」と質問を投げかけたかというと、じつは、サイボウズOffice 8で確認したところ、サイボウズのログイン画面にアクセスするURLに、秘密キーが含まれる形になっていたからだった。
携帯電話からサイボウズOfficeにアクセスするには、サイボウズOfficeの設定画面で、そのユーザ専用のURLを携帯電話にメールで送信するようになっている。実際、私の自宅に設置したサイボウズOffice 8で、簡単ログイン用のURLを携帯電話にメール送信したところ、そのURLは以下のものであった。
http://202.〓〓.〓〓.〓〓/cgi-bin/cbag/k.exe?sa=BoRmRhMPJNjdgLiCfXMjpE(略)&lk=cdb44b39cff7731a73d28d637f(略)
つまり、このURLが漏れることがないのならば、乗っ取られることはない。しかし、このURLは本当に漏れることがないと言えるのだろうか。その点を尋ねたのであった。
サイボウズ社からはすぐに(2営業日後に)担当者から詳細な返事を頂いた。その内容は予想外のものだった。
なんと、サイボウズOffice 7の「簡単ログイン」では、URLにこのキーが含まれていないのだという。それだと完全に脆弱性である。しかし、それは私が言い出すまでもなく、最初のメールで担当者自らがそれを脆弱性と認め、「かんたんログイン利用に伴う危険性等について公開を検討する」という詳細な説明を頂いたのだった。
そこで私は、「それはたいへん良いことと思います。ぜひそうなさってください。」「IPA又はJPCERT/CCに届出されてはいかがでしょうか。」とお返事した。すると、JPCERT/CCへ届ける予定とのことだった。
そして今日、サイボウズから告知が出た。*1
- サイボウズ製品の脆弱性について > 「簡単ログイン」機能の脆弱性【CY10-04-001】, サイボウズ, 2010年4月15日
書かれている対策を私なりに要約すると、
- 「サイボウズ リモートサービス」を契約するか、さもなくば、サイボウズOfficeを稼働させるWebサーバにIPアドレス制限を施すこと。
- サイボウズOffice 7ケータイの利用者は、Office 8にバージョンアップする。(アクセス用URLに秘密キーが含まれている分、ましだから。)
の、1.のみ、または1.と2.の両方を実施せよという意味だろう。
ここで問題となるのは、IPアドレス制限の方法である。これについてサイボウズは次のように説明している。
Web サーバーで、携帯電話からしかアクセスできないよう IPアドレス制限を行ってください。
Webサーバーで、IPアドレス制限をかける場合は、各携帯電話会社のホームページなどをご確認いただき、各携帯電話会社のサーバーのIPアドレス帯域からのアクセスのみ許可する設定をお願いいたします。
「簡単ログイン」機能の脆弱性【CY10-04-001】, サイボウズ, 2010年4月15日
つまり、サイボウズOfficeを購入した当人が自力で方法を調べてアクセス制限せよ、というのである。ぶっちゃけ、それは無理な話だ。
しかし、ここでサイボウズを責める気がしない。なぜなら、どうやったら確実にIPアドレス制限によるかんたんログイン対策が完遂できるものなのか、誰にもわからないからだ。携帯電話会社がいまだにそれを明らかにしていない。
サイボウズOffice本体のプログラムにIPアドレス制限の機能を組み込む解決策も考えられたはずだが、そのようにされなかったのは、携帯電話会社が「IPアドレス帯域」と称してどこかに掲載している情報は、たびたびアップデートされていて、自動的にアップデートする手段もないため、売り切り型のパッケージ製品であるサイボウズOfficeにとって、購入後まで利用者の面倒をみていられないということなのだと思う。
このように、特にパッケージ製品での「かんたんログイン」は、完全に破綻している。
現時点においては、パッケージ製品に「ケータイかんたんログイン」の機能が搭載されていたら、自動アップデートの案内でもない限り、安全でないものと疑ってかかるのがよいだろう。「携帯端末認証に対応しているので、かんたん・安心」といった謳い文句は大嘘だ。
サイボウズ社は、今回の告知に伴い、従来からあったFAQページ「外部からも、社内のサイボウズ製品にアクセスできるの?」に、以下の注意書きを加えている。
外部からのアクセスする場合の注意点
セキュリティ
(略)
「サイボウズ Office ケータイ」をご利用になる場合、アクセス元の IPアドレス制限を実施していない環境では、携帯電話の契約者固有 IDを知り得る立場で、ケータイログインページの URLがわかっている場合、簡単ログイン機能を利用し、外部のパソコンなどから、アクセスされる危険性がございます。
「サイボウズ Office ケータイ」をご利用になる場合は、弊社「サイボウズ リモートサービス」をご利用いただくか、Web サーバーで、携帯電話からしかアクセスできないよう IPアドレス制限を実施していただく事をおすすめいたします。
※「リモートサービス」では、IPアドレス制限を実施しております。
Webサーバーで、IPアドレス制限をかける場合は、各携帯電話会社のホームページなどをご確認いただき、各携帯電話会社のサーバーの IPアドレス帯域からのアクセスのみ許可する設定をお願いいたします。
簡単ログイン機能について
「サイボウズ Office 7 ケータイ」では、携帯電話の契約者固有 IDでの認証のみで認証を行っておりますが、「サイボウズ Office 8 ケータイ」では、セキュリティ強化のため、携帯電話の契約者固有 IDでの認証に加え、ケータイログインページの URLに自動的に付加したアクセスキーと「サイボウズ Office 8」で保持しているアクセスキーでの認証機能を追加しております。
こちらの認証により、パスワードを変更することで、アクセスキーが変更され、以前アクセスしていた古いアクセスキー付き URLからはアクセスできないようになっております。
「サイボウズ Office 7」をご利用のお客様は、「サイボウズ Office 8」へバージョンアップされる事をおすすめいたします。
※定期的にパスワードを変更されない場合は、「サイボウズ Office 8 ケータイ」であっても、携帯電話に保存した URLから、簡単ログインが可能ですので、ケータイログインページの URLを他人に知られないようご注意ください。
外部からも、社内のサイボウズ製品にアクセスできるの?, サイボウズお客様センター
ちなみに、「サイボウズ リモートサービス」というのは、携帯電話からの接続のみを受付ける制御を、サイボウズ社の中継サーバーが代理でやってくれるというものなのだが、このサービスについて、4月12日に以下の「重要なお知らせ」が出ていた。
- 「サイボウズ リモートサービス」のセキュリティ強化について, サイボウズ ニュースサイト, 2010年4月12日
「サイボウズ リモートサービス」のセキュリティ強化について
昨今のモバイル市場が広がる中、接続方法が多様化しております。
そのため、「サイボウズ リモートサービス」のセキュリティを強化を目的に次の変更を実施いたします。
何卒ご理解のほどよろしくお願い申し上げます。(略)
4、影響範囲
下記端末からリモートケータイ用 URL への接続が出来なくなります。
- iPhone
- Softbank X シリーズ
- イー・モバイル ケータイ
(略)
iPhone Safari へクライアント証明書をインポートしてパソコン用画面へアクセスする場合は制限の対象となりません。
これまではiPhoneやEMnetからのアクセスを許していたということなのだろうか……。
関連
- ユニークIDがあれば認証ができるという幻想, 2010年4月11日の日記
- 著名優良サイトでもi モード2.0の脆弱性に対応していなかった。なぜか。, 2010年2月28日の日記
- はてなのかんたんログインがオッピロゲだった件, 2010年2月21日の日記
- 「iモードIDは取得していません」バナー、どうぞご利用ください。, 2010年3月16日の日記
*1 ところで、この告知に気づいた人はどれだけいただろうか。http://cybozu.co.jp/products/の右メニューに「サイボウズ製品の脆弱性について」というリンクがあるのは評価できるが、製品のページhttp://products.cybozu.co.jp/office/の「重要なお知らせ」にはこの脆弱性についての告知が出ていない。「お知らせ一覧」というページがあるが、「重要なお知らせ」に出ていないし、一番下に「セキュリティ情報」というコーナーがあるものの、そこには「現在、セキュリティ情報はありません。」と出ている。
- はてなブックマークコメント ×176 : 154, 9, 3, 2, 2, 1, 1, 1, 1, 1, 1 (2019-06-14)
- はてなダイアリー [Ivan_Wisky 20100421] ×9 (2018-02-21)
- INTERNET Watch ×239 : 208, 30, 1 (2017-03-17)
- https://www.bing.com/ ×9 (2016-09-23)
- セキュリティホールmemo ×1970 : 1505, 446, 11, 4, 4 (2015-11-04)
- https://www.google.co.jp ×62 (2015-08-20)
- http://websearch.rakuten.co.jp/?tool_id=1&rid=2000&ref=ie2_0... ×4 (2013-05-01)
- jcom.home.ne.jp [w3c] ×21 (2012-06-26)
- http://multi.nadenade.com/leafy/Manufactory/AdiaryPlus/2.11-... ×5 (2010-12-02)
- http://green.search.goo.ne.jp/search?MT=サイボウズ ログイン URL&bt_se... ×5 (2010-11-11)
- http://bakera.jp/ebi/topic/4054/comment ×5 (2010-07-01)
- http://joblog.ia-net.ad.jp/sbs/ ×4 (2010-06-10)
- http://ke-tai.org/blog/2009/07/31/kantansample/ ×6 (2010-04-26)
- http://puppet.asablo.jp/blog/2010/04/23/5036728 ×5 (2010-04-23)
- http://puppet.asablo.jp/blog/ ×15 (2010-04-23)
- ココログ [hski air] ×2 : 1, 1 (2010-04-18)
- ココログ [ponkotsu-antena cocolog] ×9 : 5, 4 (2010-04-17)
- Twitter [philsci] ×5 (2010-04-16)
- Tumblr [ivarnjk] ×4 (2010-04-16)
- Tumblr [shimon-yamada] ×13 (2010-04-16)
- http://knowledge.visionary.jp/sns/?m=pc&a=page_fh_diary&targ... ×7 (2010-04-16)
- http://sns.usagi-project.org/?m=pc&a=page_fh_diary&target_c_... ×9 (2010-04-16)
- はてなダイアリー [satoshis] ×9 (2010-04-16)
- http://feed-tv.com/285nLy.html ×39 (2010-04-16)
- はてなダイアリー [satoshis 20100416] ×14 (2010-04-16)
- サイボウズ ログイン ×385 / キーワード不明 ×231 / サイボウズ ログイン URL ×95 / サイボウズ ×81 / サイボウズ ログイン画面 ×76 / 簡単ログイン ×34 / サイボウズ 自動ログイン ×33 / iphone 簡単ログイン ×31 / サイボウズ 携帯 ×30 / サイボウズ8 ログイン ×28 / サイボウズ ログイン Office ×27 / かんたんログイン ×25 / サイボウズ office ×25 / サイボウズ ログイン 画面 ×23 / サイボウズoffice ログイン ×22 / サイボウズ10 ログイン ×22 / サイボウズ office8 ログイン ×21 / サイボウズ 安全性 ×19 / サイボウズ Office ×19 / サイボウズオフィス ログイン ×18 / サイボウズ 自宅 ×18 / 高木浩光 かんたんアクセス ×18 / 携帯電話 簡単ログイン ×18 / サイボウズ オフィス ログイン ×16 / かんたんログイン セキュリティ ×15 / iphone かんたんログイン ×15 / かんたんログイン 高木 ×15 / サイボウズ 携帯 URL ×15 / サイボウズ ログイン office ×14 / サイボウズ 簡単ログイン ×13 / 簡単ログイン セキュリティ ×13 / サイボウズ 外部アクセス ×12 / サイボウズログイン画面 ×12 / サイボウズ ログイン office8 ×10 / サイボウズ ログイン 自動 ×9 / サイボウズ 認証 ×9 / サイボウズ ログイン できない ×9 / サイボウズ ログイン office10 ×9 / サイボウズOffice ×9 / サイボウズoffice ×8 / 簡単ログイン 高木 ×8 / サイボウズ7 ログイン ×8 / かんたんログイン 対策 ×8 / サイボウズ ログイン 自宅 ×8 / サイボウズ アクセス制限 ×8 / 簡単ログイン iphone ×7 / one office ログイン ×7 / ログイン サイボウズ ×7 / サイボウズ ログインできない ×7 / サイボウズ 危険 ×7 / サイボウズ 10 ×7 / 携帯電話 かんたんログイン ×7 / サイボウズ パスワード 解析 ×7 / iPhone 簡単ログイン ×7 / 携帯 簡単ログイン セキュリティ ×7 / サイボウズ ログイン 10 ×6 / サイボウズ9 ログイン ×6 / サイボウズ 外部 ×6 / サイボウズ url ×6 / 簡単ログイン IP制限 ×6 / サイボウズログイン ×6 / かんたんログイン サイボウズ ×6 / サイボウズ 高木 ×5 / サイボウズ ログインURL ×5 / サイボウズ 自宅から ×5 / サイボウズ 脆弱性 ×5 / cybozu ログイン ×5 / サイボウズ office10 ログイン ×5 / サイボウズ 自宅 ログイン ×5 / 高木浩光 簡単ログイン ×5 / office ×5 / サイボーズ ログイン ×5 / サイボウズ office ログイン ×5 / 高木浩光 かんたんログイン ×5 / かんたんログイン iphone ×5 / サイボウズ 携帯電話 ×5 / サイボウズ URL ×5 / サイボウズ 外部公開 ×5 / サイボウズ office プッシュ ×4 / サイボウズoffice ログイン画面 ×4 / サイボウズ8 自動ログイン ×4 / サイボウズ 外部 アクセス ×4 / サイボウズoffice10 ログイン ×4 / サイボウズ IP制限 ×4 / 携帯 サイボウズ ×4 / かんたんログイン IP制限 ×4 / サイボウズ アクセスURL ×4 / サイボウズ ログイン 8 ×4 / サイボウズoffice8 ログイン ×4 / サイボウズOffice 認証 ×4 / サイボウズ 端末認証 ×4 / サイボウズ ログイン パスワード ×4 / サイボウズ パスワード解析 ×4 / サイボウズ オートログイン ×4 / サイボウズ ログイン office9 ×4 / サイボウズ認証 ×4 / サイボウズOFFICE9 自動ログイン ×4 / サイボウズ URL ログイン ×4 / iphone サイボウズ ログイン ×4 / かんたんログイン 脆弱性 ×4 / サイボウズオフィス ログイン画面 ×3 / サイボウズ8 ログイン ×3 / サイボウズ 携帯 設定 ×3 / サイボウズ ログインID ×3 / 簡単ログインの危険性 ×3 / サイボウズ office7 ログイン ×3 / サイボウズ 外部アドレス ×3 / サイボウズOfficeQ ×3 / 高木浩光 IPアドレス ×3 / サイボウズoffice10 ×3 / 簡単ログイン 設定URL ×3 / サイボウズ Office ログイン ×3 / サイボウズ オフィス ×3 / サイボーズログイン ×3 / サイボウズ ケータイ セキュリティ ×3 / サイボウズ 危険性 ×3 / iPhone かんたんログイン ×3 / サイボウズ 自動ログイン iphone ×3 / 匙 ×3 / サイボウズoffice0 ×3 / サイボウズ さじを投げた ×3 / サイボウズ 外部からアクセス ×3 / 簡単ログイン サイボウズ ×3 / サイボウズ7 ログイン ×3 / サイボウズ iphone 証明書 ×3 / サイボウズ パスワード ×3 / サイボウズ office4 2010年 ×3 / 高木浩光 サイボウズ ×3 / サイボーズ8 外部pc インターネット接続 ×3 / サイボウズ かんたんログイン ×3 / 簡単ログイン 脆弱性 ×3 / サイボウズ office 8 携帯からアクセス ×3 / サイボウズ10 ×3 / サイボウズ 家でログイン ×3 / 自宅でサイボーズを利用 ×3 / アクセス制限 かんたんログイン ×3 / サイボウズオフィス ×3 / サイボウズ ログイン 自動化 ×3 / サイボウズ 自宅でログイン ×3 / サイボウズ office7 iphone ×2 / サイボウズ office 10 カスタマイズ ×2 / サイボウズ9 ログイン画面 ×2 / サイボウズ モバイル セキュリティー ×2 / サイボウズオフィス09 パスワード ×2 / サイボウズ パスワード 記憶 ×2 / かんたんログイン iPhone ×2 / サイボウズ Office 4 シリーズ ×2 / Cybouz office4 脆弱性 ×2 / サイボウズログインパスワード解析ソフト ×2 / サイボウズoffice10 ログインページ ×2 / サイボウズ Office 1 ×2 / サイボウズ ログイン ID ×2 / 自宅 サイボウズ ×2 / 携帯 IPアドレス 帯域 自動 ×2 / 簡単ログイン セキュリティー ×2 / サイボウズ 外から ×2 / サイボウズ パスワード変更 ×2 / 携帯 かんたんログイン ×2 / サイボウズ 自宅で確認 ×2 / サイボウズ アクセスurl ×2 / サイボウズ 外部から アクセス ×2 / サイボウズ ケータイ ×2 / サイボウズ8ログイン ×2 / サイボウズ office8 携帯 ×2 / 簡単ログイン ip ×2 / サイボウズ ログインページ ×2 / Cybozu セキュリティ 安全性 ×2 / サイボウズ ログインurl ×2 / サイボーズ アクセス ログイン ×2 / サイボウズ8 ログイン画面 ×2 / サイボウズ https ×2 / サイボウズ php 自動ログイン ×2 / サイボウズ9 ログインパスワード保存しない ×2 / サイボウズ アドレス ×2 / サイボウズ 会社 外からログイン ×2 / サイボウズ 7 ログイン ×2 / サイボウズ セキュリティ ×2 / サイボウズofficeログイン ×2 / サイボウズ セキュリティ強化 ×2 / 匙を投げ ×2 / サイボウズ ケータイ ログイン ×2 / サイボウズ パスワード 保存 ×2 / サイボウズ Office ケータイ 接続不可 ×2 / サイボウズの安全性 ×2 / Office ×2 / サイボウズ office セキュリティ ×2 / サイボウズログインできない ×2 / サイボウズ ログイン url ×2 / サイボウズ 外部 ログイン ×2 / サイボウズ 携帯 アクセス ×2 / かんたんログイン 危険 ×2 / かんたん認証 脆弱性 ×2 / サイボウズ 自宅で ×2 / サイボウズ10 ログインできない ×2 / サイボウズ 自宅からアクセス ×2 / サイボウズ クラック ×2 / サイボウズ8 ログイン情報の保持 ×2 / サイボウズ リモートサービス 安全性 ×2 / サイボウズ office8 外部からアクセス ×2 / サイボウズ Office 8 ログイン画面 ×2 / サイボウズ ログイン 記憶 ×2 / cybozu 自動ログイン ×2 / 高木 かんたんログイン ×2 / サイボウズoffice8ログイン ×2 / サイボウズ 外部からのアクセス ×2 / サイボウズ ログイン 保持 ×2 / かんたんログイン ip ×2 / サイボウズ リモートアクセス ×2 / 簡単ログイン 危険性 ×2 / サイボウズ ログイン画面 省略 ×2 / 安全性 サイボウズリモートサービス ×2 / サイボウズ ケータイ Office 7 ×2 / サイボウズ 携帯 ログイン ×2 / サイボウズoffice 自宅 ×2 / softbank ipアドレス 簡単ログイン ×2 / サイボウズ 携帯 自動ログインurl ×2 / サイボウズoffice6 オートログイン ×2 / サイボウズのログイン画面 ×2 / 自動ログイン サイボウズ ×2 / サイボウズオフィス メール ×2 / サイボウズ 8ログイン ×2 / サイボウズ製品への接続が許可されていません ×2 / サイボウズ 外部からログイン ×2 / サイボウズ 他人 ログイン 会社 ×2 / かんたんログイン セキュリティ 高木 ×2 / サイボウズ Office ログイン 画面 ×2 / サイボウズ office8 自動ログイン ×2 / かんたんログイン 脆弱性 解決策 ×2 / サイボウズ office8 認証URL ×2 / サイボウズ ログイン方法 ×2 / ログイン ×2 / かんたんログイン IPアドレス制限 ×2 / サイボウズ ログイン 省略 ×2 / サイボウズ yrl ×2 / サイボウズ10 ログイン ×2 / サイボウズパスワード解析ソフト ×2 / サイボウズoffice8 自動ログイン ×2 / 高木 携帯 認証 ×2 / 高木 簡単ログイン ×2 / サイボウズ 家で ×2 / サイボウズ 利用 ×2 / サイボウズ 自動 ログイン ×2 / 携帯電話 かんたんログイン パスワード保存 ×2 / サイボウズ office8を他のパソコンで開くには ×2 / サイボウズ office9 ログイン ×2 / サイボウズ 携帯 セキュリティ ×2 / 会社 サイボウズ office ログイン ×2 / サイボウズ プログラムから ログイン ×2 / 携帯端末 office ×2 / サイボウズを自宅で見る ×2