こんにちは、Cy-PSIRTの山西です。 本年でサイボウズの脆弱性報奨金制度はおかげさまで10周年を迎えました。 ここまで制度を続けることができたのは、いつも支えてくださる皆様のおかげです。 このエントリでは、2022年12月17日~2023年12月31日(以降、2023年と記載)で実施した報奨金制度を振り返りたいと思います。
サイボウズ脆弱性報奨金制度とは
サイボウズが提供するサービスに存在する脆弱性を早期に発見し、改修することを目的とする制度です。 対象製品の脆弱性を発見し、ご報告いただいた方に謝礼として報奨金をお支払いします。
2023年の活動
バグハンター合宿の開催
今回、4年ぶりとなる「サイボウズ バグハンター合宿2023」を2023/11/18(土) ~19(日)に開催しました。 これまでにイベントや活動等を通して弊社との繋がりのある方にバグハンター合宿への招待をお送りし、9名に参加いただきました。 合宿期間中は合宿限定の特別対象製品を用意したり、特定製品のソースコードの閲覧ができたりという特典がありました。 チーム戦で実施し、スコアがもっとも高かったチームに賞品を授与いたしました。報奨金は、報告したハンター個人に別途お渡ししております。 ご参加いただいた皆様ありがとうございました。
詳細につきましては、ニュースリリースをご参照ください。
Webサイトのリニューアル
報奨金制度の Webサイトをリニューアルしました。
- 報告用サイトのアカウントの申込みをわかりやすい位置に
- 「脆弱性報奨金制度」と「脆弱性検証環境提供プログラム」ページを分離*1
着信数と認定率
全体
| 着信数 | 認定数 | 認定率 | 支払額 | |
|---|---|---|---|---|
| 全体 | 90件 | 28件 | 29% | 2,555,000円 |
| (バグハンター合宿) | 52件 | 17件 | 33% | 1,440,000円 |
2023年は、前年からの報告数・認定数を上回る結果となりました。 バグハンター合宿での報告数が半数以上を占めております。
製品毎の報告数
| 製品名*2 | 認定する | 認定しない | 合計 |
|---|---|---|---|
| サイボウズ Office | 14 | 10 | 24 |
| Garoon | 6 | 14 | 20 |
| メールワイズ | 3 | 4 | 7 |
| Garoon プラグイン*3 | 2 | 8 | 10 |
| kintone | 1 | 8 | 9 |
| kintone プラグイン*3 | 1 | 4 | 5 |
| KUNAI for Android*4 | 1 | 0 | 1 |
| サイボウズ共通管理 | 0 | 8 | 8 |
| cybozu.com store | 0 | 3 | 3 |
| Garoon モバイル for iOS | 0 | 1 | 1 |
| その他 | 0 | 2 | 2 |
脆弱性認定については、去年に引き続きGaroon・Officeが中心となっていますが、今回はバグハンター合宿で特別製品として公開した プラグインについてもご報告いただいております。
本年も、様々な機能が追加されておりますので、アップデート情報についてもぜひご覧ください。
CWE別報告数
| CWEタイプ | 着信数 |
|---|---|
| CWE-79:Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') | 4 |
| CWE-284:Improper Access Control | 4 |
| CWE-20:Improper Input Validation | 3 |
| CWE-94:Improper Control of Generation of Code ('Code Injection') | 1 |
| CWE-200:Exposure of Sensitive Information to an Unauthorized Actor | 1 |
| CWE-285:Improper Authorization | 1 |
| CWE-DesignError 設計上の問題 | 1 |
| CWE-Other その他 | 7 |
例年、CWE-285 が上位を占めておりましたが、今回はバグハンター合宿で普段公開していない製品を公開したということも有り、 例年とは異なり CWE-79 についての報告が1番多い認定となりました。
Cybozu賞
2023年に頂いたご報告の中から、特に弊社製品の改善につながった報告に対してCybozu賞をお渡しいたしました。 セキュリティ上の観点の見直しに繋がった、通常の検証では見つけることが難しかったなどの理由で選定となりました。
受賞した報告は以下の通りです。
| 報告者名 | サイボウズ脆弱性識別番号 | 製品名 |
|---|---|---|
| 閏間 修一 様 | CyVDB-3607 | Garoonプラグイン |
| 佐々木 様 | CyVDB-3609 | Office |
| Masato Kinugawa 様 | CyVDB-3638 | Garoon |
| Masato Kinugawa 様 | CyVDB-3641 | Office |
今後の活動
10周年記念イベント
まだ、検討段階ではありますが、ご報告いただいたバグハンターの方々へ感謝を伝えることが出来るような企画を検討しております。 ご参加いただけますと幸いです。
施策について
アンケートの実施
報奨金制度にご参加いただいている皆様に、報告に対するモチベーション・制度で困っていること・欲しい情報などをヒアリングし、 制度改善につなげるためにアンケートの実施を予定しております。 制度への要望など、この機会にぜひご意見をお寄せください。
プライベートプログラムの実施
現在、プライベートプログラムの実施を検討しております。 これまで弊社製品の脆弱性報告にご尽力いただいた方を中心にご招待します。 普段対象としていない製品やリリース前の製品を報奨金制度の対象として報告出来るなど、特別なプログラムを予定しております。
最後に
サイボウズ製品のセキュリティ品質向上にご協力いただき、ありがとうございました。 「サイボウズにこのような企画や施策を実施してほしい」というご要望などございましたら、報告用サイトやその他のお問い合わせフォームよりお気軽にお寄せください。
今後ともサイボウズ脆弱性報奨金制度をよろしくお願いいたします。