徳丸 浩:CVEが採番され、修正版のリリースから4ヶ月経っているのであれば、公開自体には問題ないと思います。どこまで詳細に公開してよいかというポイントかと思いますが、以下をもとに判断することになると思います。 * 攻撃の危険性 * 攻撃に必要な条件（例: 攻撃者がログインしている必要があるが自身では会員登録できない） * 既に攻撃が行われているか あるいは、脆弱性に関する類似の記事を読んでみることも参考になります。私自身攻撃手法について書いているブログ記事がいくつかあります。WordPressに関連するものを挙げてみました。詳細をぼかしているものとぼかしていないものがあると思います。 https://blog.tokumaru.org/2018/12/wp-gdpr-compliance-cve-2018-19207.html https://blog.tokumaru.org/2018/09/wordpress-duplicator-plugin-vulnerabilty.html https://blog.tokumaru.org/2017/03/nextgen-gallery-sql-injection.html https://blog.tokumaru.org/2019/04/Wordpress-Visual-CSS-Style-Editor-privilege-escalation.html https://blog.tokumaru.org/2017/09/welcart-object-injection-rce.html https://blog.tokumaru.org/2017/05/phpmailer-cve-2016-10033-exim4-wordpress4.6.html これらは私が発見したものではありませんね…私が発見したものでは例えば以下があります。 https://blog.tokumaru.org/2022/12/CVE-2021-3362.html 上記では、それぞれのケースで、「どこまで公開するか」の判断を行っているわけですが、簡単に言うと、「この記事を公開したせいで攻撃が新たに発生する」可能性を検討し、その可能性が大きければ攻撃のポイントをいくつか伏せることになります。 私が最近読んだ記事でも、そのような「配慮」がなされていました。 https://labs.watchtowr.com/exploitation-walkthrough-and-techniques-ivanti-connect-secure-rce-cve-2025-0282/ > However, for the readers at home who are hoping to use this to craft their own > exploit, we are omitting some details that you will need to complete yourself. > This is purposeful. > > （訳）しかし、これを活用して自作のエクスプロイトを作成しようと考えている読者のために、ご自身で完成させる必要のあるいくつかの詳細を省略しています。これは意図的なものです。 これは、この脆弱性への攻撃が「価値」の高いものであり、攻撃に利用されることの影響が大きいためでしょう。 一方、WordPressの4.7.1までに存在した有名な脆弱性CVE-2017-1001000は、（おそらく）Sucuriブログで詳細が公表された後に攻撃がわんさかくることになってしまいました。 https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html https://www.itmedia.co.jp/enterprise/articles/1702/03/news063.html > この間にSucuriをはじめとするセキュリティ企業と連携し、攻撃が発生した場合でも各社のファイアウォールで防御できる態勢を確立。自動更新を通じてWordPressの更新版が行き渡り、できるだけ多くのユーザーが保護されるのを待ってから、情報を公開したという。 > > 　問題のREST APIはWordPress > 4.7.0で導入され、4.7.0と4.7.1ではデフォルトで有効になっている。現時点でこの脆弱性を悪用しようとする動きは確認されていないものの、まだ古いバージョンを使っている場合は直ちに4.7.2に更新するよう呼び掛けている。 https://internet.watch.impress.co.jp/docs/news/1043880.html > WordPress向けのセキュリティプラグイン「Wordfence Security」を提供している米Feedjitは、WordPressのREST > APIの処理に起因する脆弱性を突いた攻撃により改ざんされたウェブサイトが2月9日までに155万サイトを超えたことを明らかにした。「WordPressに関連する脆弱性のうち、最悪のもの」としている。 > > 　Feedjitでは、WordPressより脆弱性情報が発表された1日以降、顧客企業に提供しているファイアウォールで攻撃の観測を開始。2日までは攻撃は観測されなかったが、3日に初めて発生。その後5日までに増加を続け、5日にはファイアウォールに設定したルールを回避する亜種を発見したという。亜種による攻撃は7日以降に急増している。 これによりScuri社が非難されたなんてことはなかったと思いますが、いささか居心地の悪い思いはしたかもしれません。発見者なので「貢献した」側ではあるのですがね。攻撃手法自体は単純なので、伏せておいたところですぐに発見されるので、そうなるくらいであれば管理された公表をしようという意図だったのだと思います。 一方で、Exploitを公表しないことに決めている研究者も多くいて、この辺はポリシー次第です。 さて、ご質問の「ガイドライン」ですが、いくつかあるのですが、上記のような詳細までは書いていません。なので、ケースバイケースで判断するしかないと思います。 確認をとるべき組織や個人についてですが、ソフトウェアの開発元と元々協議していた場合は確認の必要がある場合があります。たとえば、バグバウンティの報奨金を受け取る条件として、Exploit開示が禁止されていたら、それに従うしかありません。

徳丸 浩:私の認識するところでは、jQuery本体には、『「古いjQueryを読み込んでいるだけ」でセキュリティ上問題になる』ものはないと思います。なので、「jQueryの使い方によっては脆弱になる」ということですね。以下のサイトにはPoCも含めた情報が載っています。 https://security.snyk.io/package/npm/jquery 徳丸本第2版のP437には、jQueryのCVE-2012-6708が脆弱になる例が記載されており、徳丸本付録のBad Todoおよび、公開版のBad Todoにこの脆弱性の応用問題が含まれています。 jQuery Mobileの古い版には「読み込んでいるだけでXSS脆弱になる」問題がありました。 https://masatokinugawa.l0.cm/2012/09/jquery-mobile-location.href-xss.html こういうものは比較的珍しいと思います。 先のCVE-2012-6708は、弊社の脆弱性診断で攻撃可能な箇所が見つかり、PoCつきで報告した例がありますが、一般的には「脆弱な版のjQueryを読み込んでいるだけで脆弱性として報告する」ケースが大半かと思います。なので、脆弱性診断でjQueryの脆弱性が再現手順つきで報告があったら「当たり」と考えて・・・いやいや、喜べないですが、優先度を上げて対応してください。

徳丸 浩:機密情報を含む場合はPOSTを利用すべき理由は、同書のP54に説明されています。 * URL上に指定されたパラメータがReferer経由で外部に漏洩する * URL上に指定されたパラメータがアクセスログに残る * URL上のパラメータがブラウザのアドレスバーに表示され他人にのぞかれる * パラメータつきのURL を利用者がソーシャルネットワークなどで共有してしまう すなわち、機密情報をGET、すなわちクエリ文字列（URLパラメータ）で送ることを問題視しています。 Basic認証はWWW-AuthenticateヘッダによりIDとパスワードを送信するため、上記の4条件のいずれにも該当しません。 このため、Basic認証はGETでも差し支えないということです。 「機密情報を送信する場合はPOSTを利用すべし」という結論だけを覚えるのではなく、ぜひその理由もセットで理解してください。そうすることで、応用力が養えると思います。

徳丸 浩:細かめに数えて30職というのは良い戦だと思います。自分で挙げるのは大変なので、既存のものを引用いたしますが、まずは日本CSIRT協議会が出している下記の資料。 CSIRT人材の定義と確保(Ver.2.1) 良い資料ですが、CSIRTという観点からのまとめですので、社内の職種のまとめになります。「セキュリティソリューションのセールスエンジニア」なんてのは入りません。 次は、ラックさんが子どもにも読めるように書いた冊子です。 https://www.lac.co.jp/lacwatch/announce/20231106_003557.html こちらも良い資料ですが、診断系だけやたら細かいけど、監視系がないんじゃない? みたいな偏りはある気がします。ラックさんがSOC忘れて（意図的に抜いた?）どうするとは思いました。 次は検索で見つけた下記の記事。 https://www.security-design.jp/entry/2019/10/01/232409 こちらの図がわかりやすいです。 SOCもちゃんとありますね。 ということで、数え方とか、「どこまでをエンジニアと呼ぶか」などで数は変わりますが、20～30職種というのは良い線かなと思います。

徳丸 浩:x-frame-optionsヘッダーにsameoriginを設定しているか否かは、permission-policyヘッダーを設定かどうかの判断には直接影響はありません。 なぜなら、x-frame-optionsヘッダーは、他のページのframeやiframeの子ページになり得るかどうかを指定するものです。X-Frame-Options: SAMEORIGINを指定した場合、他のオリジンのページのiframe等の子ページとして当該ページを指定できなくなります。 一方、permission-policyヘッダーは、当該ページの子ページの挙動を制限するものです。なので、X-Frame-Options ヘッダーとは独立に判断する必要があります。

徳丸 浩:私は暗号の専門家ではないので、暗号に関する質問には回答できません。なので、謝礼も返金いたします。 RSA鍵交換はTLS 1.3では使えなくなりましたが、その理由は（ご存知かとは思いますが）RSA鍵交換が前方秘匿性（forward secrecy）を持たないからです。すなわち、秘密鍵が漏洩すると、漏洩以前に収集された暗号文までも解読されるという性質があるからです。 また、Bleichenbacherおよびそれを改良したROBOT (Return of Bleichenbacher's Oracle Attack)は、方式上の問題ではなく、実装上の問題なので、RSA鍵交換自体の脆弱性とは言えないでしょう。一方で、実装に脆弱性があれば、方式に関わらず攻撃を受ける可能性はあるわけで、「TLS1.2において鍵交換にRSAを用いた場合に上記以外に現実的な攻撃手法はあるのでしょうか？」という問いは、あまり意味がない問いかけのように思います。 このような背景から、TLS1.2において鍵交換にRSAを用いるリスクは、前方秘匿性がないことであり、対策としては、RSA鍵交換を避けることだと思います。これ自体、BleichenbacherおよびROBOTの解決策でありますが、仮にこれらの脅威を想定しない場合でも、RSA鍵交換は避けましょうというのが現在のベストプラクティスだと思います。そして、可能ならできるだけ早くTLS1.3に対応し、中・長期的にはTLS 1.3以上のみに対応することでしょう。

徳丸 浩:クレジットカードのBIN(Bank Identification Number)はカードの先頭6桁のイシュアの識別番号なので、PAN(Primary Account Number; いわゆるカード番号)のことですかね。クレジットマスターが主流となっているというのはあり得る話ですが、それを裏付ける統計は知りません。おそらく日本クレジット協会や経産省もよくわかってないのではないですかね。フィッシングは今もありますし、ECサイトからの漏洩もありますが、これらの割合についてはよくわからないのが現状です。たまに経産省のサイトにカード会社毎の統計もでますが、統計ごとにバラツキが大きく、「不明」となっているものも多いです。

徳丸 浩:この質問からは、「かつてはVPNは匿名化に有効だったが今はそうではない」という印象を受けますが、そのような時代的変化はあまりないと思います。あるとすれば、常時SSL(TLS)の普及により暗号化通信が一般的になったことですが、それは普通「匿名化」とは呼ばないと思います。以下VPNは個人用のVPNを指すものとします。 そもそも匿名化とはなんでしょうか。「サイトを閲覧している私が誰であるかを知られたくない」という意味であれば、SSL(TLS)は関係ありません。どちらの場合でも通信ログには送信元のIPアドレスが記録されます。しかし、IPアドレスから利用者の氏名住所などはわかりません。ISPに開示請求をすれば分かりますが、開示請求を心配しないといけない人は限られていると思います。 また、いわゆるトラッキングの問題もあります。例えば、私はもう随分長く腕時計をしていないのですが、セイコーのメトロノームウォッチに興味を持ってサイトを閲覧したところ、それ以外の腕時計の広告が多く表示されるようになりました。これは広告の最適化のためのトラッキングの結果ですが、これはブラウザのクッキーなどによるものなので、VPNにしても解消はされません。 VPNは今でも「接続元IPアドレスを隠す」用途には有効だと思いますが、日本の社会では、IPアドレスの秘匿が必要な用途は限定的だと思います。 私はVPNの存在自体を否定するものではありませんが、VPNベンダーの広告は多くの場合欺瞞が多いという印象を持っています。

徳丸 浩:日本ではSMSによるチェックなどはある程度信頼できるものと受け止められていますが、国際的な標準などでは、わりあい強めにSMSを認証等に用いること否定されています。たとえば、以下の記事が参考になります。 https://www.itmedia.co.jp/news/articles/1904/08/news026_2.html > サービス提供側への情報としては、米国立標準技術研究所（NIST）の認証に関するガイドライン「NIST Special Publication > 800-63B」の策定において、SMS認証について議論され、表現が変更された経緯があります。 > > 　草稿の時点では「非推奨」とされていたSMS認証は、決定稿公開時には「条件付き」（なら使用しても良い）という表現になりました。その条件を簡単に書くと、「他の認証方式と併せて利用すること」「危険性について評価し、その結果を利用者に公表すること」「代替の方法を用意しておくこと」です。 SMSによる認証については、デジタル庁の以下の資料も参考になります。 令和５年度 本人確認ガイドラインの改定に向けた有識者会議 論点協議資料（第１回分） この資料でもSMS認証は否定されています(P14)。 > フィッシング、疲労攻撃、SIMスワップのいずれの耐性も有さない認証手法。原則として採用すべきではない。 これらに従うと、SMSを単独で認証に用いることは駄目じゃんとなるのですが、現実にはSMSを単独で認証に用いることは広く行われています。日本ではヤフーが代表例でしょう。以下の記事が参考になります。 https://www.lycorp-security.jp/ja/column/0011.html > Yahoo! JAPAN IDではサービスを安全に利用していただくために、パスワードを利用しない「パスワード無効設定」を推奨しています。 > > パスワード無効設定とは、パスワードによるログインを無効にして、代わりに携帯電話番号（SMS）に送られる確認コードを入力しログインする方法です。 ヤフー系のサービスの例として、PayPayカードはカードの券面にはカード番号等は記載されておらず、カード番号やセキュリティコードを調べるにはウェブサイトにログインする必要がありますが、これもSMS認証です。なので、SIMスワップなどでSMS認証が突破されると、PayPayカードの番号等が盗まれることになります。私はPayPayカードを使っていて、かつ昔は利用限度額が500万円だった（今はもう少し常識的な金額です）ので、結構ドキドキしながら使っていたことを思い出します。 では、ヤフーは、前記した国際的なセキュリティ動向に無知でSMS認証を採用しているのでしょうか。私思うに、きっとそうではなく、国際的な動向は承知しつつも敢えてSMS認証を推進しているのだと思います。 私がそう思う理由は、ヤフーのように利用者が極めて多く、利用層も広範であるサービスでは、どんなに安全な方法でも利用者が使えなければ意味がないからです。 パスワード認証に対する不正ログインは、パスワードリスト攻撃、パスワード推測、フィッシングなどにより非常に多数の実被害が毎年出ています。一方、SIMスワップは日本でも発生していますが、年間数件程度です。それを考えると、理論的な安全度は別として、実績ベースでは、「SMS認証はパスワード認証に比べてはるかに安全である」とみなすことも可能であると思うのです。 ただ、私自身は、一人のヤフーユーザとしてこれは不満でして、従来は使えた「パスワード認証+TOTPの二段階認証」を使いたいと思っているのですが、おそらくヤフーは、「大多数のユーザーにとってはSMS認証の方がはるかに安全」と判断しているのだと思います。 私は必ずしもヤフーの判断に全面的に賛同しているわけではありませんが、認証方式などセキュリティ施策の検討は、複合的に考えなければならず、ヤフーのSMS認証推進もそのような判断の結果なのだろうと思っています。

徳丸 浩:仮にDNSサーバー（リゾルバ）として信頼できないものを使うと、接続先サイトのホスト名（ドメイン名）を知られるとか、偽のサイトをつかまされる等のリスクはあります。偽サイトをつかまされるというのは、広告ブロッカーとしての機能が「偽の広告サイトを返す」わけですが、原理的には当然のことですよね。 DNSリゾルバに悪意がある最悪ケースでは中間者攻撃ができますが、HTTPS(TLS)を正しく使って入れば大きな問題はないでしょう。例えて言うと、公衆無線LANで偽アクセスポイントを掴んでしまったような状態になります。ただし、偽アクセスポイントに比べると制約が多いので、脅威もそこまでではないと思います。 https://www.youtube.com/watch?v=k0xBCjWPqcU

徳丸 浩:まず、Domain属性は指定しない方が安全です。このあたりの事情については私の本を読んで頂きたいと思います。また、一般的に、HttpOnly属性は付与した方がよいものの、効果は限定的です。これについては以下の動画を御覧ください。 https://www.youtube.com/watch?v=4JREwhSC2dQ さて、Cookieはどのように使うのでしょうか? Domain属性を指定するつもりと書いておられますが、そのDomainは何を指定するのでしょうか? Firebaseとは別にサーバーを立てますか? それとも、Cloud Functions for Firebaseのドメイン名（ホスト名）を指定するのですか? その辺が分からないと詳細の回答はできません。

徳丸 浩:以下の記事が参考になると思います。 https://www.itmedia.co.jp/news/articles/2203/15/news172.html 以下がNTTドコモのコメントです。 > 　基本的には（パスワードをお忘れの方には）パスワードの再設定をお願いしている。ユーザーの利便性のために用意しているパスワードの確認機能を使った場合は、自分で設定したパスワードをdアカウント内のみで確認できるが、パスワードは暗号化した上でサーバの中で厳重に保管しており、SNSやメールで外部に提示することはない。 セキュリティ的な問題はないことはないですね。たとえば、サーバーに侵入されて、暗号鍵までとられてしまった場合、平文パスワードが得られてしまいますね。その平文に戻すロジックはサイト側にはあるわけで、そのロジックまでとられてしまったら…ひょっとしたら、HSM（ハードウェア・セキュリティ・モジュール）により暗号鍵を強固に管理しているかもしれませんが、その場合でも絶対に安全では言い切れないですが、その方法の開示は割愛します。 一方、類似機能を提供しているソフトバンクはパスワードの平文保存を認めていて、「あなたは正直者ですね」と思いましたが、2022年3月の記事なので今では改善されているかもしれません。 つまり、パスワードの平文表示をしているキャリアが2社あって、片方は暗号化、もう一方は平文保存していたわけですが、「パスワードが平文表示されたからサーバー内でも平文保存されているのだろう」という決めつけはよろしくないと思います。暗号化保存という可能性もあり、実際にNTTドコモはそうしていた（している）わけです。