脆弱星に導かれて

脆弱星に導かれて P3NFEST 2024 Summer Muneaki Nishimura (nishimunea)

⾃⼰紹介⻄村宗晃（にしむねあ）ブラウザの脆弱性を探すのが⼤好き好きなブラウザはFirefox https://www.slideshare.net/codeblue_jp/firefox-by https://files.speakerdeck.com/presentations/3cf321f5ee4d4aaba9f18305ee2a461c/SWIFT_Code_for_Mozilla_Bank__nishimunea_.pdf 1

これまでに⾒つけた脆弱性 CVE数65件（未採番を含めると100件以上）脆弱性の報奨⾦で⼟地のローンを完済 2 CVE-2014-1591 CVE-2015-5256 CVE-2017-10816 CVE-2017-7789 CVE-2023-49060 CVE-2014-8638
CVE-2015-6759 CVE-2017-10817 CVE-2018-1257 CVE-2023-49061 CVE-2015-0799 CVE-2015-6762 CVE-2017-10818 CVE-2020-15661 CVE-2023-6211 CVE-2015-0807 CVE-2015-7094 CVE-2017-10819 CVE-2020-15662 CVE-2024-0814 CVE-2015-0832 CVE-2015-7190 CVE-2017-10861 CVE-2020-26954 CVE-2024-26282 CVE-2015-2714 CVE-2015-7191 CVE-2017-10866 CVE-2020-26955 CVE-2024-26283 CVE-2015-2744 CVE-2015-8510 CVE-2017-10867 CVE-2020-26964 CVE-2024-2629 CVE-2015-2745 CVE-2016-1782 CVE-2017-2240 CVE-2021-21164 CVE-2024-31393 CVE-2015-3750 CVE-2016-1940 CVE-2017-2241 CVE-2021-23959 CVE-2024-38313 CVE-2015-3751 CVE-2016-1955 CVE-2017-2376 CVE-2021-23976 CVE-2015-3752 CVE-2016-2816 CVE-2017-5385 CVE-2021-29958 CVE-2015-5204 CVE-2016-2817 CVE-2017-5386 CVE-2021-30583 CVE-2015-5207 CVE-2016-7599 CVE-2017-5463 CVE-2022-1887 CVE-2015-5208 CVE-2017-10815 CVE-2017-7788 CVE-2022-31746 今年は現時点で6件

Braveブラウザの脆弱性発⾒数 “元” 世界1位 HackerOneにおけるBraveブラウザの脆弱性発⾒者ランキングにて昨年の夏頃まで世界1位 3 https://hackerone.com/brave/thanks

しかしその後、ポケモンカードにのめり込んでしまい毎週末、ポケモンカードの⼤会に参加し、脆弱性探しを疎かにしたところ… 4 https://pokekameshi.com/gurenarma-bullet/ https://www.youtube.com/watch?v=HGNzstB8xkE シティリーグ2024シーズン4 ポケモンカード公式チャンネル

Braveブラウザの脆弱性発⾒数世界2位（現在）⾸位に圧倒的な差を付けられて2位に転落… 5 https://hackerone.com/brave/thanks

6 今⽇は継続することの⼤切さをお伝えしたいと思いますサボって２位に転落した私から

本⽇お話すること 1. 脆弱性を探しはじめたきっかけとそれから 2. 脆弱性の⾒つけ⽅ 3. まとめ 7

1. 脆弱性を探しはじめたきっかけとそれから

きっかけはセキュリティ・キャンプ技術系コミュニティでWebセキュリティの情報発信をしていたところ、キャンプ講師の推薦を頂いた（2014年） 9 突然なんですけどセキュリティキャンプとか興味あったりしませんか︖ え︕ありますあります︕ でも私で勤まるのでしょうか…

安易に引き受けてみたものの募る葛藤著名な講師陣と全国から選び抜かれたチューター達⾃分だけ⽰せる実績が何も無い… 10 https://warp.ndl.go.jp/info:ndljp/pid/8701679/www.ipa.go.jp/jinzai/camp/2014/zenkoku2014_te.html

そんなある⽇講義内容を相談する中、Mozillaの中の⼈（当時）から、 Firefoxブラウザの脆弱性報奨⾦制度の存在を教わる 11 脆弱性報奨⾦制度で貰った⼩切⼿の話でもすれば︖ そんなものがあるんですか…

そして報奨⾦制度へ挑戦することに脆弱性を⾒つければ発⾒者として名前が載る（Proven Track Record）逆に脆弱性が⾒つからなければ⾃分の実⼒はその程度⾒つからなければ講師を辞退しようと考えていた 12 https://web.archive.org/web/20081002084317/https://www.mozilla.org/ja/security/bug-bounty.html

しかし脆弱性が⾒つからないまま半年が過ぎる脆弱性を探すのは砂漠から⼀粒のダイアモンドを⾒つけるようなもの世界中のプレーヤーも同じように脆弱性を探している → 発⾒者⼀覧（Hall of Fame※）には400名以上の名前が記されている 13 ※ https://www.mozilla.org/en-US/security/bug-bounty/hall-of-fame/
5⽉ 6⽉ 7⽉ 8⽉ 9⽉ 10⽉件数 0件 0件 0件 0件 0件 0件半年間 0件

だけど脆弱性を探す半年間は楽しかった脆弱性は⾒つからなくても、毎⽇、新しい発⾒や感動があった特に先⼈たちの攻撃コードを解析するときのワクワクがたまらなかった 14 https://bugzilla.mozilla.org/show_bug.cgi?id=947592

そんなある⽇（再び）過去に発⾒された脆弱性の攻撃コードを試したら、同じ脆弱性が再現した⾼速化のため、コードを書き直した際に再発したらしい 15 2012年にBhargavan⽒が報告した脆弱性 2014年に私が報告した脆弱性（CVE-2014-1591）同じ脆弱性が再発

偶然⾒つけた脆弱性だけど初めて⾒つけた1件の脆弱性が、⼤きな⾃信につながった同じ⼿法を応⽤することで、多くの脆弱性を⾒つけられるようにもなった 16 2015年2⽉ 2015年3⽉ 2015年10⽉ → →

1件の脆弱性が⼈⽣を⼤きく変える転機となった 1/3 2015年、CODE BLUEでの登壇発表を機に、多くのセキュリティ関係者との交流の機会を頂いた 17 https://www.youtube.com/watch?v=8yClLHKOzIU

1件の脆弱性が⼈⽣を⼤きく変える転機となった 2/3 2016年、WooYunの主催するカンファレンス（中国北京）での講演 2千⼈を超える聴講者の前での発表は⼤きな⾃信につながった 18 https://www.instagram.com/p/BHodJxgjniL/

1件の脆弱性が⼈⽣を⼤きく変える転機となった 3/3 様々な⽂章を書く機会にも恵まれた繰り返すうち、⻑⽂の執筆も苦にならないようになった 19 ブラウザハック監訳 WEB+DB PRESS No.103
寄稿 Mozilla Attack & Defense Blog 寄稿

何より⼤切だったのは 6ヶ⽉間、くじけずに脆弱性を探し続けた⽇々だった⾒つからなくても「どうせ6ヶ⽉くらい⾒つからなくて当たり前」と考え前に進んだことが、⼤きな転機につながった 20 5⽉ 6⽉ 7⽉ 8⽉ 9⽉
10⽉件数 0件 0件 0件 0件 0件 0件何より⼤切だった⽇々

2. 脆弱性の⾒つけ⽅参考にならないかもですが…

⼿法① ソースコードを⼀通り全部読む 1/2 初⾒の場合は、GitHub上でソースコードを全部タブで開き、上から読んでいく 22 タブで全部開いて上から順に読む

⼿法① ソースコードを⼀通り全部読む 2/2 既に読んだことのある製品の場合は、git diffコマンドで差分を読んでいく次第に「枝刈り」の能⼒が⾝に付いて、速く読めるようになっていく 23 ーで始まる⾏を削除すると読みやすくなる

⼿法①で⾒つけた脆弱性の例（Bug 1767205） iOS版Firefoxのヒストリー管理画⾯にSQLインジェクションの脆弱性があった悪⽤することで、ユーザの履歴を外部へ盗み出すことができた（$2,000） 24 https://bugzilla.mozilla.org/show_bug.cgi?id=1767205 ※⾃動翻訳

⼿法② ビルドして⼿元で動かす気になる箇所を⾒つけたら、⼿元で動かして挙動を確認していくソースコードにログを埋め込むと解析がスムーズになる 25

⼿法②で⾒つけた脆弱性の例（Bug 1840958）開発途中のクレジットカード⾃動⼊⼒機能にUXSSの脆弱性があったカード情報の更新機能を⽤いて悪意のあるスクリプトを登録させ、他サイトにカード情報を⾃動⼊⼒した際に発⽕させることができた（$9,000） 26 https://bugzilla.mozilla.org/show_bug.cgi?id=1840958 ※⾃動翻訳

⼿法③ 仕様を確かめる気になる機能を⾒つけたら、まずは仕様書を確認する仕様を読むことで、新たな攻撃⼿法の着想を得ることができる 27 https://www.w3.org/TR/referrer-policy/ Referrer-Policyヘッダは <a referrerpolicy>属性でダウングレードできるのか

⼿法③で⾒つけた脆弱性の例（Bug 1861405）先述の仕様を悪⽤することで、HTMLインジェクションを⽤いて、 Firefox内部ページのURLに含まれる機密情報を盗み出すことができた（$3,000） 28 https://bugzilla.mozilla.org/show_bug.cgi?id=1861405 ※⾃動翻訳 Firefoxの内部ページ Content-Security-Policy: default-src
'none' <meta name="referrer" content="never"> <a referrerpolicy="unsafe-url" href="***"> Click Me HTML インジェクション Referer: 機密情報を含むURL 攻撃者のサーバ

⼿法④ 過去の脆弱性を調べるその製品で過去にどのような脆弱性が指摘されたかを調査する類似の脆弱性が繰り返し再発することがある（先述） 29 2012年にBhargavan⽒が報告した脆弱性 2014年に私が報告した脆弱性（CVE-2014-1591）同じ脆弱性が再発

⼿法④で⾒つけた脆弱性の例（CVE-2021-21164） Microsoft社のブログに、iOS版Chromiumの脆弱性の探し⽅が掲載されていた同様の⼿法で、他の箇所のUXSSの脆弱性を発⾒した（$10,000） 30 https://microsoftedge.github.io/edgevr/posts/Hacking-Chrome-iOS/ https://issues.chromium.org/issues/40054408 ※⾃動翻訳 Microsoft社のブログ記事私が発⾒した脆弱性（CVE-2021-21164）

⼿法⑤ 全ての⼿法を組み合わせるこれまでの⼿法を組み合わせることで、数多くの着想を得ることができる 31 ⼿法① ソースコード⼿法② 実際の動作⼿法③ 仕様
⼿法④ 過去の脆弱性 ✕ ✕ ✕ 本来どうあるべきかどこに何があるかそれはどう動くか何が起きたらダメか

⼿法⑤で⾒つけた脆弱性の例（Bug 1657251 他） Firefoxのプライベートブラウジングモードの保護を迂回し、継続的にユーザを追跡可能な脆弱性を複数報告した（$2,750） 32 https://bugzilla.mozilla.org/show_bug.cgi?id=1657251 https://bugzilla.mozilla.org/show_bug.cgi?id=1658231 https://bugzilla.mozilla.org/show_bug.cgi?id=1663261 https://bugzilla.mozilla.org/show_bug.cgi?id=1684624
https://bugzilla.mozilla.org/show_bug.cgi?id=1670127 Android版 Favicon Android版 Web Notification Android版 <a download> iOS版 PDF表⽰ iOS版ダウンローダ Bug 1657251 ($1,000) Bug 1658231 ($250) Bug 1663261 ($500) Bug 1684624 ($500) Bug 1670127 ($500)

3. まとめ

はせがわさんのコメントに⾔いたいことが全部書いてあった… 34 https://issuehunt.jp/events/2024/summer/p3nfest

35 最初の⼀歩を是⾮踏み出してみましょう︕

Happy Hacking!

脆弱星に導かれて

脆弱星に導かれて

MUNEAKI NISHIMURA

More Decks by MUNEAKI NISHIMURA

Other Decks in Technology

Featured

Transcript