ユーザー企業は「システムや VPN 機器等の脆弱性への対応は納品業者が当然やってくれるもの」と契約書もろくに読まずのんきにそう考える。そもそも VPN機器もソフトウェアも、NTT が貸与する黒電話のようなもので、故障など滅多に起こらないと純朴に考えていたりする。ましてや普通に使っているだけで単に時間が経過すれば脆弱性がひとりでに湧いてくることがあるなどとは知るべくもない。それどころかデフォルトのパスワードを変更すらしない。
一方でシステムインテグレータやソフトウェア開発企業は「脆弱性情報収集やパッチ当て等の脆弱性管理は契約の範囲外」と甲乙両当事者の代表印押印済の契約書を手に自信を持つ。裁判が起こったときに勝てるようにしておけば極論どうなってもいいのだ。そのぐらい忙しいし他者への配慮などしている暇は無い。全部が全部そうではないと思いたいが。
こんな認識のズレが国中に蔓延しており、ランサムウェア被害や各種サイバー攻撃被害の温床のひとつとなっている。これを本誌は「ニッポンサイバー無責任時代」と今年から呼ぶことにした。同じく 2004 年から提唱している「サイバーノーガード戦法」同様、日本独特のセキュリティ運用や習慣によって生じるリスクを象徴する言葉だと思う。ノーガード戦法はさすがに 2024 年現在無理筋となりつつあるが。
さて「サイバー無責任時代」の重要な要件となるのは「相互性」である。「サイバー無責任」が成立するシステム等々には、ステークホルダー同士の「悪い意味での信頼関係」が存在する。すなわち、お互い他人任せで「脆弱性という名のコスト」を相手に押しつけたつもりでいる。ここが重要なポイントだ。どこにも責任がなくただ全体が悪くなっていく。
今回の取材が終わった後で考えたのは、上記のようないくぶん倫理的なことだった。
セキュリティ企業の研究者によって発見され、脆弱性発見報奨金制度(バグバウンティプログラム)によって 7 万 5,000 ドルもの高額のバウンティ(報奨金)が支払われたにもかかわらず、CVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)に採番すらされていない脆弱性が存在する。
ちなみに 7 万 5,000 ジンバブエドルではない。US ドルである。
それは「nOAuth(エヌオース)」と呼ばれる、アカウントが乗っ取られる認証系の脆弱性である。この脆弱性が、よりによって株式会社クラフが提供する脆弱性管理基盤「S4(エスフォー)」に存在し、かなり限定的な条件ではあったものの攻撃が成立することが 2024 年 5 月に開発者によって実証され、翌月には暫定措置を実施、本稿最終稿執筆時点の 8 月 20 日現在は必要なすべての対応が完了している。
本来であれば S4 の運営と JVN が協同で調整を行い「本脆弱性は製造元によって報告され最新版では対処済み」といった周知がなされてもいいところだが、前述の通りこの脆弱性には CVE すら存在しない。nOAuth(エヌオース)の原因となる IdP(ID プロバイダー)によって、約 1,000 万円ものバウンティが発見者に支払われているにも関わらずだ。
それどころか IdP は、nOAuth の原因を「脆弱性」ではなく、あくまで「仕様」であるとする見解を一貫して崩していない。
……おそらく読者の 9 割が現時点ですでにこの記事について来てくれていないと思う。それに対して残りの 1 割は、理解できているどころか、これから先書かれること、そして最後の結論まで、記事タイトル等から判断しておおよその予想すらついているだろう。
つまり「知らない人には伝わらない/知っている人には伝える必要がない/にも関わらず情報発信を行う」この、セキュリティ情報発信の大いなる矛盾が、今まさに本稿を読んでいる読者に起こっている。
だが、本誌の編集コンセプトのひとつは、Security Information Wants To Be Shared. 「セキュリティ情報は共有されることを欲する」であるからして、何とかその不可能に挑戦してみたいと思う。
S4 の開発サイドのディレクターを務める小杉 和也(こすぎ かずや)に話を聞いた。
--
まず最初に断っておきたいのは、この記事の持つ決定的「歯切れの悪さ」である。
要は S4 がサインインの際に用いる複数の IdP のうち、たったひとつにのみ nOAuth(エヌオース)の脆弱性が存在するのだが、この IdP を記事の中で固有名詞で表記しないことが S4 側が取材を受ける条件であった。
S4 は既に nOAuth に対処済みなのにも関わらずこうした方法を取るのは言うまでもなく、S4 の初期の実装と同じようなやり方、つまり nOAuth のリスクが顕在化しかねない方法でこの IdP を活用している Web アプリが、世界中にごまんと、ほんとにごまんと存在するからだ。攻撃のきっかけになることを危惧してのことである。
だがここでちょっと立ち止まって考えてほしいのだが、“ nOAuth ”と検索すれば約 0.1 秒も待たずして、どこの IdP であるかはすぐに調べることができる。それほど広く情報として流布しているにも関わらず、あえて具体性を伴わない注意喚起をしようとしているのは、そこに保身が働いていると推測せざるを得ない。
本年 6 月に公開された、NTTデータグループ「グローバルセキュリティ動向四半期レポート」2023 年度 3Q 版の 11 ページ右カラムの中程では、2023 年 8 月 4 日に NISC と気象庁、気象研究所の 3 組織が行った、メール関連機器に対する不正通信に関する公表について言及されており、そこでは「3 組織の取った情報非開示の方針は不適切」とはっきりコメントされていたが、今回 S4 がとった情報発信における方針もまた、性質は違うものの、同様に「適切ではない」という評価を受けはしないか。
そう思った編集部は、インタビュー中を含め、都合 3 度ほど小杉と S4 運営側に説得を試みたが、S4 運営および小杉の意思は固く、変化することはなかった。
そこまで言うのなら仕方ないわね。それが S4 の面々が向上心を持って仕事と取り組むやり方であるのなら、もうそれでいいわよ。あんたたちなんかねえ。「脆弱性管理プラットフォームによる著しく明快さを欠いた脆弱性情報共有」などと書かれて NTTデータグループのレポートで盛大にディスられておしまい。なぜかオネエ言葉でそう思いながら本稿は書き進められた。
……この段階でどのぐらい読者が離脱しているのかはわからない。直前パラグラフの効果でかなり減ってはいるだろう。少なく見積もってさらに半分は離脱しているように思う。冒頭で 9 割離脱しているからそこからさらに半分、つまり 95 %離脱。だから、最も読者を離脱させる、攻撃がどのように成立するかの技術的詳細は、思い切って省いて話を進めてしまおうと思う。
幸いなことに脆弱性を発見して 7 万 5,000 ドルという実にうらやましい額のバウンティを受け取ったセキュリティ企業が、短いがわかりやすい YouTube 動画を公開している。興味がある方はこちらをご覧いただきたい。直感的に理解できると思う。
さて、nOAuth の最重要ポイントをたったひとつだけ挙げるならば、それは nOAuth の脆弱性を持つある特定の IdP が、本人のものではないメールアドレスを登録できてしまうことである。
ここで小杉へのインタビューの肝となる部分を抜粋する。
── 今回はあえて固有名詞を挙げずに「特定のひとつのIdP」といった呼び方で話を進めますが、nOAuth はどんな脆弱性ですか?
IdP は、たとえば「メールアドレス」「ファーストネーム」「ラストネーム」等々、ユーザーの情報を保存管理しており、サインアップやログイン時にその情報をサービスプロバイダー、今回で言うと私たち S4 が問い合わせて取得します。そのメールアドレスが、その IdP においては、本人のメールアドレスではなくても登録できる仕様になっており、それによって発生しうるアカウント乗っ取りや権限昇格の脆弱性が nOAuth と呼ばれています。
── 本人のメールアドレスでなくても登録できるとしたら確かにそれは脆弱性ですね
これは IdP 側からすると脆弱性ではありません。なぜなら、この IdP が、S4 のようなサービスプロバイダー向けに提供している仕様において「ログインの際にはメールアドレスではなく、発行された固有の一意の識別子を用いること」と明記されているからです。つまり、その仕様通りに我々サービスプロバイダーが実装しなかったことで何が起こっても、この IdP の責任範囲ではないと言うことです。
── とはいえ、認証でメールアドレスを ID に用いないサービスを探すのが難しいくらい、一般的な慣習にすらなっています
実際に他の多くの IdP では、本人のアドレスでなければ登録できないようになっている例がほとんどです。しかし、だとしてもなお IdP が「認証にはメールアドレスではなく固有識別子を使うこと」という仕様で提供している以上「これは脆弱性ではなく仕様である」という IdP の見解は正しいと言えます。
── なるほど
--
「脆弱性やおまへんねん。仕様でんねん」と言い切ってしまうのなら、なぜ 7 万 5,000 ドルが「バグバウンティ」から支払われたのか。もし「仕様悪用バウンティ」があればそちらから支払われたのか。考えれば考えるほどわからない。
いずれにせよこの nOAuth の問題は、当の S4 が正面から取り組もうとしている「サプライチェーンリスク」の本質と極めて近しい問題なのではないか、という感想を持った。冒頭のサイバー無責任時代とも関連する。
つまり「メールアドレスをログイン時の ID として使うたらあきまへんで」と IdP は仕様をきちんと定めているのにも関わらず、サービスプロバイダ側はユーザーの直感的な理解しやすさ、ユーザーの一手間を減らしたい利便性などを優先して、仕様に反した実装をしてしまった。
IdP 側からすれば今回の S4 のような実装は、サプライチェーン上に存在する、VPN のパスワードをデフォルトのまま運用してセキュリティの穴になってしまう「うかつなグループ会社」と結果的にはそう変わらなかった。
そもそも S4 もその開発ディレクターの小杉も、この nOAuth 対応事案の経緯をわざわざメディアの取材を受けて公表する必要もなかったと思う。CVE すらなく「脆弱性ではなく仕様」と公式が明言もしているのだから、「対応が完了している」というリリースをひとつ打つだけでも十分誠実であったはずだ。しかし S4 の小杉はそうしなかった。
脆弱性管理のアプリケーション開発の現場で発生したサプライチェーンリスクの最新事例に S4 自身が率先してなることで、単に nOAuth のみならず、もっと広い気づきや考えの発端となり、議論を促すきっかけにしたかったのに違いない。
そういうことですので、NTTデータグループの皆さんは四半期レポートで S4 の猛烈に歯切れの悪い情報発信に関して厳しい糾弾を行う際、この部分をぜひ勘案してください。
包丁は「調理のため」と仕様が定められた道具なので、たとえそれで不幸にも人が刺されてもメーカーは責任を負わない。今回の話はこんな風に単純なものではないと思う。そもそも電子メールアドレスによる認証を行っていない Webサービスなんて、ほとんどなくないですか? 少なくとも筆者は(業務用アプリは別として)電子メールアドレスによる認証を行わない Webサービスは、個人的にドキュメンタリーや「おれ、ねこ」等を視聴するために利用している「NHKプラス」以外とっさに思い浮かばない。
最後に、nOAuth の脆弱性とその攻撃実証は S4 開発チームによって 2024 年 5 月に検証され、翌 6 月には該当する IdP の認証に固有の識別子を使う方法に変更された。そして現時点では既に全 IdP に関して IdP が仕様としている固有識別子を認証に用いる実装に変更されている。なお S4 はそもそもサービス提供開始時点から ID とパスワードによる認証のほかアクセス制限も用いていたため、nOAuth によるアカウント乗っ取りは運営が確認している範囲では発生していない。
S4 に関してはこれで nOAuth への対応が完了した、というか決着を見た訳だが、果たしてこれが最適解なのかという疑問も残る。なぜなら nOAuth に該当する IdP が「認証にはメールアドレスではなく固有識別子を使うこと」という仕様を提供しているということを、この記事を読んではじめて知る人も少なくないだろうからだ。
ものを知らない情弱サービスプロバイダがリスクを抱え続け、そのサービスを使うエンドユーザーもまたリスクにさらされ続けるとしたら、なんというか「脆弱性」という切り口でのデジタル植民地的構造に思えなくもない。デジタル植民地とは、日本の DX が進めば進むほどそこで生み出された富が海外に自動的に移転され、ITプラットフォーマーが儲かるという例のあれである。
IdP 側には、誰がどんなサービスにログインしているかといった情報がどんどんたまっていくから、IdP はそのデータを解析することでたとえば高精度の広告配信や商品レコメンド等が可能になり、監視資本主義経済の覇者となることができる。ユーザーを危険にさらしていることには積極的に目をつぶり、自分の役に立つ情報はちゃっかり貯め込む、なんて素敵な態度だろう。
……などと、ついうっかりノリで書いてしまったが、とはいえ本稿は、 S4 と S4 の小杉と全く同様に、IdP や GAFAM を批判するといった目的はまったくない。現在のこの状況を知る人が増えて、小杉がそう願うように「多くの人に考えてもらうきっかけ」になることを願うのみである。
そしてこれが最後の最後になるが、nOAuth の原因となる、本人のアドレスでなくても登録できてしまう「仕様」は、現在もそのままであり、なんら変更はなされていない。そして、IdP の仕様に反してメールアドレスを認証に用いる Web アプリは世界中にあまた存在している。
追伸
本稿は「最後の最後」と書いた後にさらに追記がある。記事配信の直前になって「仕様通りの実装をしないことで nOAuth のリスクが発生しうるこの IdP が Microsoft であることを記事できちんと公開したい」という前言撤回の連絡が小杉から届いたからだ。だったら最初っからそう言ってよ。あたしちゃんと聞いたわよね。三回も。と、オネエ言葉で心の中で絶叫したことは言うまでもない。S4 の公式の意図は以下の通り。
「そもそも脆弱性管理プラットフォームの SaaS アプリケーションである S4 を、中小企業向けに 2022 年 9 月から無償提供することでサプライチェーンリスクに対応しようとしているのは、『お金のある企業だけしかセキュリティ対策ができない』という社会課題解決を目的としている。2 年弱の S4 の普及活動は、サプライチェーンリスクが原因や責任を特定のステークホルダーに負わせることでは解決できないことを実感する過程でもあった。だから Microsoft という個社名を出すことで同社を批判するような意図はまったくないし、同時にサービスプロバイダーやユーザーに、本件の責任の所在が同社一社だけにあると思ってもらうことはよりいっそう本意ではなかったので、最初は社名をあえて伏せる方針を取らざるを得なかった。しかし、社内で議論が一周して『誰が悪いのでもない』ということを伝えるにあたってむしろ個社名を出すことが重要であると考えるようになった」
是非次回はその結論に達してからインタビューに応じてくださいと言わざるを得ない。要は「『誰が悪いのか』という考え方そのものが悪い」ということか。いずれにせよ NTTデータグループにこれでディスられることはなくなった訳だからめでたしめでたし。ではこれでホントのおしまい。
(編集部註:創刊から 26 年間セキュリティの記事を配信している本誌ですが、とにかく暗号と証明書と脆弱性を掘り下げる記事というのはなかなか読者の皆様に読んでもらえません。「なかなか」というよりも「ほぼ全く」読んでもらえません。ごく一部の読んでいただく方は前述の基本的に読む必要のない「すでにわかっている人」だけです。そこで、なんとかして記事にメリハリをつけたいために「ディス」っているだなんだといろいろ書いてしまいましたが NTTデータの分析者の方は別になんら誰かを「ディス」ってなどいません。事実に基づく極めて建設的かつ風通しのいい意見表明です。こうなってほしいというセキュリティにおける意見交換の未来を先取りして実践するリスクを負ってすらおり尊敬しています。ですので最後にお詫びします。ごめんなさい)
