脆弱性発見報奨金制度(バグバウンティ)の運営で難しい事の一つに、報告された脆弱性を「審判」としてどのように評価し、報奨額を決めるか、がある。報奨金制度において、審査の実務とはどのようなものなのか。第1回に続き、サイボウズとLINEの担当者が語る。

写真●左から、サイボウズ グローバル開発本部 品質保証部の伊藤彰嗣氏、サイボウズ グローバル開発本部 副本部長の佐藤鉄平氏、LINE セキュリティ室の中村智史氏、LINE セキュリティ室の李明宰氏
写真●左から、サイボウズ グローバル開発本部 品質保証部の伊藤彰嗣氏、サイボウズ グローバル開発本部 副本部長の佐藤鉄平氏、LINE セキュリティ室の中村智史氏、LINE セキュリティ室の李明宰氏
[画像のクリックで拡大表示]

記者 報告された脆弱性の審査では、どのような点に苦労しましたか? 明らかな脆弱性であるものを「脆弱性ではない」と評価すればバグハンターは怒りますし、評価は報酬額に直結するので、透明性がないとバグハンターに不満がたまってしまいます。

サイボウズ伊藤氏 サイボウズでは基本的に、報告を受けた脆弱性の客観的な評価基準として、共通脆弱性評価システム「CVSS(Common Vulnerability Scoring System)」を使っていまます(IPAによるCVSSの解説)。

 とはいえ、実際にはCVSSでは測れない脆弱性も多く存在するので、そうした脆弱性の評価は苦労しました。

 CVSSは、バージョンによって評価のフレームワークに違いがあり、例えば、我々が当初採用したCVSS v2では、ソーシャルエンジニアリング攻撃(人間の心理的な隙に付け込んで秘密の情報を入手する手法)は測れません。

 一方、その後に我々が乗り換えたCVSS v3では、CVSS v2では測れていた「セルフXSS(ユーザーをだまして悪意あるコードを入力させる手法)」を評価しづらくなりました。

LINE李氏 LINEの場合、どういった基準で評価をするのかで大変悩んだのですが、最終的にはCVSSを使わない選択をしました。

 世の中の多くの報奨金プログラムはWebサービスが対象で、CVSSもそれに合わせたものです。ですがLINEの場合は「メッセンジャー」という特殊なプラットフォームが対象です。脆弱性の評価に当たっては「ユーザーのプライバシー侵害につながるか」という観点が必要になります。

 CVSSは客観的な指標を提供してくれますが、そうした自由度がなかったので、LINEとしては使えませんでした。このため、ユーザーのプライバシーの観点から脆弱性の深刻度を判断できる評価基準を社内で新たに作りました。

 例えばXSS(クロスサイトスクリプティング)脆弱性の1件当たり報奨金の最低価格は5万円ですが、「メッセージが漏えいする」などユーザーの情報を取得できてしまう脆弱性と判断すれば、高額の報奨金を出すようにしています。

伊藤氏 なるほど、その仕組みは面白いですね。サイボウズの場合、脆弱性の評価がCVSSに縛られていることもあり、バグハンターからは「裁量がない、面白みがないね」と言われてしまうこともあります。