2016年5月20日金曜日

バグハンター

おひさしぶりです。れき(@reki_wf)です。

今回はなんとなく投稿してみました。

さて、今日(執筆日)は5/20日です。

え、もう五月なんですね。

私が前回に前回に発見したLINEの脆弱性の件ですが、発見したのは2月中でした。

脆弱性に関しての動画を投稿したのは2/20です。

みなさん何か気づきませんか?

LINEから正式な発表はされていません。

さらに言うとまだ一部修正されていません

http://linecorp.com/ja/security/

このサイトで報告されるとのことでしたが、4/05に更新されたのみです。

しかもそれは脆弱性関連の記事です。

Line Bugbounty Program...

本当に悔しいです。

前回見つけたものは認証回避の脆弱性です。

最低金額は5,000$とあります。

今のレートでは約55万円です。

共同発見だから山分けしたとしても27万円程度になります。

さらに「最低金額」なのです。

http://www.slideshare.net/muneakinishimura/mozilla100

このスライドショーではhtmlタグを挿入できるというだけで30万円をもらえています。

しかし、今回私たちは1円ももらえていません。

もともともらうつもりではなかったですから構いません。

さて、脆弱性を見つける過程はいろいろあると思います。

お金が欲しいから、遊んでいて、攻撃するため、デバッグ。

今回発見した脆弱性は、使い方次第ではとんでもないことができます。

例えばですが、LINEは設計上総当たりでユーザーやグループを探すことができます。

ここでいう総当たりについて詳しくは言えませんが、おそらく有限の時間で有用な情報が手に入ると思われます。

そしてグループに参加していなくてもグループの情報はわかりますし、ユーザーの情報もわかります。

LINEで社内の情報をやりとりしている会社はないとは思いますが、仮にLINEで社内の情報をやりとりしているA社があったとします。

グループ名は「A社-極秘-」とでもしておきましょう。

総当たりをすることでてにいれたグループのなかに「A社-極秘-」があったとしましょう。

見つかった時点でそのグループのノートに記載されている情報は全て攻撃者が自由に見ることができてしまうのです。

そんな脆弱性を見つけてしまったら、あなたはどうしますか?

もしかするとアンダーグラウンドで売れるかもしれません。

いたずら程度に使いたいかもしれません。

「常識としては」報告をするべきでしょう。

今回私たちは報告すると同時に動画を公開しました。

しかし、皆がそうするとは限りません。

サイボウズさんをのぞいては、日本の企業で脆弱性に対してお金を払ってくれる企業はほとんどないと思います。

仕事でもない限り、どんなに大きい脆弱性であってもご褒美はないのです。

対して海外ではどうでしょうか。

http://www.epochtimes.jp/2016/05/25631.html

10歳の少年が1万ドル(約110万円)手にしています。

Instagramと、LINEどちらも同じようなSNSです。

どちらも個人情報が詰まっています。

海外では脆弱性を報告するとお金がもらえるので、見つけたら報告するのが一番だと思います。

日本では、どうでしょうか。

私がLINEで見つけたのは今回が初めてではありません。

前回は報告せずに遊んでしまいました。

しかし、脆弱性を報告すれば名前を乗せてくれるかなと思い、報告しました。

3ヶ月たちましたが未だに進展がないようです。

私はこれで探すのをやめるわけではありません。

あなたなら、今後見つけたらどうしますか?

私は企業体質が変わらないのなら日本を出て行ってしまいたいです。

今後も日本のためにも自分のためにも見つけたら報告するつもりです。


ぜひ、他の企業も脆弱性に関してもっと力を入れて欲しいです。



今年もセキュリティキャンプを申し込みました。

LINEやサイボウズの人が講師としてくるようなので、私としては本当にお話がしたいと思います。

当たるといいな・・・


以上、れきでした。




3 件のコメント:

  1. バグ、脆弱性、セキュリティホール報告という性善説での行いに高圧的に対応された経験があるので発見後も無視を決め込む姿勢になりました。
    H◯TACHI、S◯MANTEC、M◯、今も改善されないものから、報告後すぐ改善されたものまで色々あるけど、、、
    今度オラクル社のエンジニアと話す機会があるので俺も色々聞いてみようかな。

    返信削除
    返信
    1. ちなみにUnknownにしてるけどツイッターでフォローさせていただいている@reijipというものです。

      削除
    2. コメントありがとうございます。

      OracleといえばJavaとFlashとデータベースですかね....

      Flashは絶対やばそう....

      削除

お問い合わせフォーム

名前

メール *

メッセージ *