徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

先日のバグハントの話しを拝見しました。

私はセキュリティ専門ではないので何とも言えませんが、脆弱性を調査する人が捕まる可能性があるって当事者からしたらどうなんでしょうか?

曖昧な法律の上にセキュリティが絡んでくるとなると、バグハント等を行なっている人の善意に委ねられると思いますし、逆に報われない努力になってしまう可能性があるって、やるせ無い気がしてなりません。

徳丸さんはもう少し境界線を明確にすべきだと思われますか?

2022/01/04 13:17

法律の中でも不正アクセス禁止法は割合明確なのですが、バグハントを公開サイトでやろうとすると、どうしてもグレーなゾーンに突入する可能性があります。たとえば、サイト上で自分の個人情報が https://example.com/users/xa05123 となっている場合に、末尾の番号に1を加えて https://example.com/users/xa05124 にアクセスすると、他人の個人情報が見えてしまう可能性があります。一方、そのような「変更」をまったく行わずにバグハントをするのは困難です。
これを解決する一つの方法は、操作した人の意図により免責することですが、それはそれで難しいです。正当な意図を立証することが困難であるからです。いわゆるウイルス罪の方は「正当な理由がないのに…」との書き出しで、正当な理由があれば免責される旨明記されていますが、むしろウイルス罪の方が実務的に混乱しているように見受けられます。不正クセス禁止法の方は、「正当な理由」ではなく、「アクセス管理者の許諾」を受けた場合は免責とされていて、こちらは明確です。
すなわち、アクセス管理者の許諾を得ないでサイトのバグハントを行うことがそもそもグレーゾーンであることになりますし、「正当なバグハントは免責」と法律でうたうことも難しいように思えます。
また、法律で処罰されないまでも、制裁を受けることは現実に発生しています。詳しくは以下のスライドを御覧ください。
https://www.slideshare.net/masatokinugawa/avtokyo-bug-hunters-sorrow-ja
最近はIPAの公開ウェブサイトのバグハントを推奨はしていないようですし、脆弱性届け出の制度ができた2004年とはウェブセキュリティの状況も変化しているので、バグバウンティ制度を運営しているサイト以外は、積極的にはバグハントにはいかないようになりつつあると思います。

ギフトサポートする

徳丸 浩

コメント

継続サポートするとコメントを閲覧、投稿することができます。

その他の投稿
不特定多数の利用者が自由にユーザーアカウントを作れるWebサービスで、「メールアドレス認証だけ」でログインできる方式は危険でしょうか?

いま一般的にはまず「パスワード認証」を備えて、さらにパスワードを忘れた時にメールアドレスに指定の鍵(短時間だけ有効な認証コードや認証URL)を送ってパスワードを再設定できる方式がメジャーなように思います。

よく考えたらそれはつまりメールアドレス認証ができればそのアカウントの持ち主と判断しているので、最初からメールアドレス認証だけでログインしても同じなのでは?と思ってしまいます。

しかしパスワード登録がないWebサービスは個人的には見かけたことがありません。

スマホ等を利用した多要素認証でセキュリティ向上というのはひとまず置いておいて、「パスワード認証は不要で、メールアドレス認証でいいのでは?」という点が気になっています。パスワードが盗まれるリスクが1つ減るから良いのでは?とすら思ってしまうのですが・・。
itのセキュリティ業界って狭くないですか?
知ってる人にすぐ繋がるような。
ログイン機能に対するCSRFは、一般的なCSRFと比べてリスクが低いといえるでしょうか?
IE のサポート終了は、徳丸本第3版を執筆する理由になりますか?
徳丸先生の思う「ご自身の過去最高の殺し文句」は何ですか