mixiが2013年9月31日からはじめた脆弱性報告制度を利用し、いくつかの脆弱性の報告を行ったので、その結果とミクシィセキュリティチームの対応について記載しようと思う。
脆弱性報告制度
https://developer.mixi.co.jp/inquiry/security/
1. 報告内容と報酬について
対象・脆弱性・報酬を表にまとめてみた。
| 対象 | 脆弱性 | 報酬 |
|---|---|---|
| Find Job! | XSS | 12.5万円 |
| Open Redirect | (なし) | |
| mixi | Open Redirect / OpenID漏えい | 6万円 |
| mixi research | SQL (ログイン) | 50万円 |
| SQL (ログイン(Ciao)) | ||
| SQL (検索) | ||
| SQL (検索(Ciao)) | ||
| SQL (パスワードリマインダ) | ||
| 他人のデータの閲覧・改ざん | (なし) | |
| 他人のデータの閲覧 | (なし) | |
| XSS | 12.5万円 | |
| XSS | ||
| XSS | ||
| XSS | ||
| 合計 | 14件 | 81万円 |
2. ミクシィセキュリティチームの対応について
今回脆弱性の報告を行った際に、ミクシィセキュリティチームの対応はひどいものだった。上記の表で「mixi research」の脆弱性としてSQLを5件(機能別では3件)報告しているが、同一サイトということで1件にまとめられてしまった。mixiの脆弱性報告制度のページのその他の項目には以下のような記載がある。
※脆弱性報告制度(https://developer.mixi.co.jp/inquiry/security/)より引用
この記載によると「性質」が「同種」の場合にまとめて1件としてカウントするということだが、機能やパラメータの異なるSQLの脆弱性をすべてまとめて1件とカウントして報酬を渋るミクシィセキュリティチームの対応はおかしいのではないか。これについてミクシィセキュリティチームに問い合わせのメールを2014年3月25日に送ったのだが、現時点(5月11日)までに返信は来ていない。都合の悪いメールを無視する対応も問題だろう。
また、「mixi research」の他人のデータを閲覧・改ざんできる問題については脆弱性ではない、もしくは軽微な脆弱性と判断され、報酬をもらうことができなかった。サイトやアカウントの性質上、アンケートフォーム等の調査内容に関する他人のデータの閲覧や改ざんまでは確認できたが、アンケート結果に対しては脆弱性の有無を確認することができなかった。しかしこのサイト自体がまったくセキュリティ対策を行っていないことからアンケート結果についても他人のデータが閲覧できる可能性は大いにある。このような脆弱性を脆弱性ではない、もしくは軽微と判断したミクシィセキュリティチームは頭がおかしいのだろう。脆弱性ではない、もしくは軽微と判断して報酬を支払わないのであれば脆弱性は修正せず、放置しておくべきだろう。報酬も支払わずに脆弱性を修正する態度は、脆弱性を発見した人に対して失礼である。 修正が必要な脆弱性であれば報酬を支払うべきである。
ミクシィセキュリティチームにメールをだしても返信がないことから、現在はmixi本体のサイトの問い合わせページ(https://developer.mixi.co.jp/inquiry/security/)から問い合わせを行っている。返信があれば更新しようと思う。
脆弱性を調査する側は報酬を頂き、mixi側は脆弱性を潰す事ができるという、お互いにWin-Winな関係となるための脆弱性報告制度だと思うが、報酬を渋り、都合の悪いメールは無視するといったmixi側の対応は、今後このような制度を行う際に悪い影響となるだろう。