Cy-PSIRTの活動 ▌サイボウズ製品の脆弱性検証 ▌検出された脆弱性の評価 ▌製品で利⽤されるOSSの脆弱性情報の収集 ▌報奨⾦制度の運⽤ n 外部のセキュリティ専⾨家に脆弱性を報告していただいたら、その脆弱性に応じて 報奨⾦をお⽀払いする制度 ▌第三者機関による脆弱性検証 n 社内検証に加え、2つのセキュリティ監査/検証を実施しています。 n 監査結果は公開しています。 n https://www.cybozu.com/jp/productsecurity/
Cy-CSIRT(セキュリティ室)との違い ▌サイボウズにはCSIRTもある n CSIRT:Computer Security Incident Response Team n サイボウズのCSIRTは「セキュリティ室」と呼ばれています。 ▌セキュリティ室は会社の情報セキュリティ n PCなくした︕, あやしいメールが届いた︕ など ▌セキュリティ室とPSIRTは役割は違えど連携しています。
共通脆弱性タイプ⼀覧 CWE ▌CWE(Common Weakness Enumeration) n ⾮営利団体のMITREが中⼼となって策定しているソフトウェアにおけ るセキュリティ上の脆弱性の識別番号 n 例 n CWE-89:SQLインジェクション n CWE-352:CSRF ▌参考情報 n https://www.ipa.go.jp/security/vuln/CWE.html
共通脆弱性識別⼦ CVE ▌CVE(Common Vulnerabilities and Exposures) n ⾮営利団体のMITREが中⼼となって採番している、個々の脆弱性を 識別する番号 n 例 n CVE-2014-6271:ShellShock(bash) n CVE-2019-0708:BlueKeep(Remote Desktop services) ▌参考情報 n https://www.ipa.go.jp/security/vuln/CVE.html
脆弱性の評価 CVSSv3 ▌CVSSv3(Common Vulnerability Scoring System v3.0)とは n 脆弱性の深刻度を数値化するための世界中で使われるシステム n CIAに以下の5項⽬を加え、計8項⽬で脆弱性を評価 n 攻撃経路(AV):ネットワーク or 隣接 or ローカル or 物理 n 攻撃の複雑さ(AC):低 or ⾼ n 攻撃に必要な権限(PR):なし or 低 or ⾼ n 被害者が操作を必要か(UI):不要 or 要 n 影響の範囲(S):変更なし or 変更あり n 0.0 ~ 10.0 の101段階
SELECT * FROM tbl_user WHERE id =ʻ{$_GET[ʻidʼ]}ʼ ʼ OR 1=1 -- id =ʻʼ OR 1=1 --ʼ SQLインジェクション例 ▌SQL ⽂の構造を破壊され WHERE 句で指定される条件が常に「真」 になり、情報が漏えいします。 診断時には AND(ʻ and 1=0) を使うことが推奨です。
CWE-79 クロスサイトスクリプティング(XSS) ▌XSSとは n Webアプリケーションを通じて任意のスクリプトを利⽤者のブラウザで実⾏させる脆 弱性 ▌原理 n HTMLタグやJavaScriptタグなどの構造を破壊する⼊⼒をすることでスクリプトを 実⾏される ▌種類 n 蓄積型 XSS:攻撃コードがDBなどに保存されている n 反射型 XSS:攻撃コードがリクエストに含まれる n DOM-Based XSS:DOM操作時に発⽣する
DOM-Based XSS についての補⾜ ▌DOM-BasedXSSを構成する「ソース」と「シンク」 n ソース︓攻撃者によってスクリプトを埋め込まれる可能性のある箇所 n 例 n location.href, location.search, window.name など n シンク︓ソースに含まれる⽂字列を⽤いることで実際にXSSの原因と なる箇所 n 例 n document.write, element.innerHTML, $.html(), eval など
DOM-Based XSSに特化した対策 ▌Trusted Types n CSPで「trusted types」を指定することでシンクに代⼊できる値の型をTrusted Types型に制限することができる。 n Trusted Types型以外がシンクを経由して代⼊されそうになるとエラーになる。 n 注意 n 対応しているブラウザがまだ少ない n https://caniuse.com/?search=trustedtype n Trusted Typesでの定義するエスケープ処理が適切でないとDOM-based XSSは防げない n 詳細︓ https://chromium.googlesource.com/chromium/src/+/master/ docs/trusted_types_on_webui.md
ブラウザが提供するセキュリティ機構 ▌Same-Origin Policy (SOP) n (スキーム, ホスト名, ポート番号)の組が異なる場合、DOMの参照や通信 の⼀部を禁⽌する。 [補⾜1] n (スキーム, ホスト名, ポート番号)の組のことをOriginと呼ぶ。 n Originが同⼀の時、Same-Origin、 異なる時Cross-Originと呼ぶ。 ▌Content Security Policy(CSP) n サーバーサイドWebアプリケーションが課した制約に違反する挙動をWebブ ラウザが検出する n 指定されたjavascript以外読み込まないなど。 n 詳細:https://developer.mozilla.org/ja/docs/Web/HTTP/CSP
セキュリティ機能 ▌以下を指定することで特定のセキュリティ機能を付与できます。 n X-XSS-Protection[補⾜3] n X-Content-Type-Options n X-Frame-Options n クリックジャッキングを防ぐ n Content-Disposition: attachment; n Strict-Transport-Security
Cookieの扱い ▌Cookieを発⾏時に属性を指定することで扱いを制限することができる。 [補⾜4] n Expires:絶対的な有効期限を指定 n Max-Age:相対的な有効期限を指定 n Domain:利⽤可能なホストを指定 n Path:利⽤可能なパスを指定 n Secure:HTTPSを利⽤しているときにのみ送信される n HttpOnly:jsなどからの呼び出し禁⽌ n SameSite:リクエストもとに応じてクッキーをセットするかを指定
脆弱性の評価 CVSSv3 例 ▌ 脆弱性︓攻撃者が⽤意した罠リンクをクリックすると意図せずパスワードが変 更されるCSRF。 n 攻撃経路(AV):ネットワーク or 隣接 or ローカル or 物理 n 攻撃の複雑さ(AC):低 or ⾼ n 攻撃に必要な権限(PR):なし or 低 or ⾼ n 被害者が操作を必要か(UI):不要 or 要 n 影響の範囲(S):変更なし or 変更あり n 機密性の侵害(C):なし or 低 or ⾼ n 完全性の侵害(I):なし or 低 or ⾼ n 可⽤性の侵害(A):なし or 低 or ⾼
cybozuinsideout
yusuke
miu_crescent
sadonosake
gawa
yosuke_furukawa
gaelvaroquaux
daikimori
hiashisan
pyama86
line_developers_tw
mochico
line_developers
lara
soudai
jennybc
ddemaree
rmw
vanstee
mongodb
keithpitt
sferik
jensimmons
hursman
paulrobertlloyd