2016年1月30日 09:30
脆弱性報奨金の総額は600万円、サイボウズが2015年の振り返り
と周辺サービス(サイボウズDesktop Win/Mac)を加えるほか、脆弱性の評価方法をCVSS(Common Vulnerability Scoring System) v3に移行して深刻度判定が5段階に増加した。
新たに加わった「緊急」の深刻度(基本値9.0-10.0)に関しては数値×5万円に増額する。ただし基本値が6.9以下のSQLインジェクションは、数値×3万円のみと設定した。
○バグハンターによる説明も
当日は「バグハンター感謝祭」も兼ねており、9名のバグハンターが参加。NTTコムセキュリティの東内 裕二氏がライトニングトークを行った。東内氏は2014年にサイボウズの脆弱性を報告したものの、有用と判断されなかった。一方で、「cybozu.comバグハンター合宿」に呼ばれたという。
合宿では、ほかの参加者がアクセス制御不備を見つけていたので、そこに着目。
ユーザーAで作成したものが(権限のない)ユーザーBでアクセスできるかどうかの作業を行ったところ、8件のアクセス制御に関する脆弱性を発見し、うち6件が現在までに認定されたそうだ。
アクセス不備の脆弱性は現実的な攻撃に結び付く可能性がある一方で、脆弱性なのか仕様なのか判断しにくく、機械的な診断で見つけにくい。