たかが指摘、されど指摘……この脆弱性はどの指摘？　 若手診断員の奮闘記①

こんにちは。ハイブリッドWebセキュリティ診断「ABURIDA®」で診断員をしている、あーちゃんと申します。診断員歴は半年とちょっと（2024年8月時点）の駆け出し診断員です。

ABURIDA®のブログを担当していたもちゃじ先生の後任！というわけではございませんが、診断員が診断のリアルをつづってみたら面白いのでは？！ということで、今回担当させていただくことになりました！　つたない文章で恐縮ですが、温かく見守っていただけると幸いです……！　よろしくお願いします！

この指摘はどう報告する？　グレーを白黒で分けるのが苦手な私

皆さんは物事を白と黒にしっかり振り分けることは得意でしょうか？　ふと日常にそのような場面が現れたとき、瞬時にスパッと切り分けることができますか？　私はそれがとっても苦手です。人混みで前から来る人を瞬時にかわしながら歩くとか……。あの駆け引きみたいな一瞬、とっても苦手なんです……。

実はセキュリティ診断でも似たようなことをすることが多々あります。

とあるWebサイトの診断事例

前に診断したWebサイトのお話です。（※分かりやすくするために一部フィクションを入れており、実際の状況とは異なります）

ある団体の申請サイトで、申請者を識別する機能に以下のような実装がありました。

• URLには「/login」の文字
• 会員番号と生年月日の入力欄 
• 入力内容の例が記載されている 
• 日本語と英語で記載 
• リクエストの送信ボタンは「次へ」 
• 上記の機能を通過後、申請する内容には個人情報や金銭が関わる内容も含まれている 

この時点でピンときた方もいらっしゃるのではないでしょうか？　生年月日は誰もが知っている「推測しやすい数字のみの文字列」です。総当たり攻撃で簡単に破られてしまう可能性があるため、診断歴が短い私でもすぐ「不十分なパスワード強度の指摘だ～！」と思いました。

「/login」は本当にログインなのか？

でも、ちょっと待ってください……。そもそも、この機能はログイン機能なのでしょうか？

うーーーーーん、もしかしたらログインという概念でこの機能を実装していないかもしれない。入力内容を送信するボタンも「ログイン」ではなく「次へ」と記載されているし。ログインっぽいかといわれれば、そうでもないと捉えることもできる。ログインではないという概念で実装していたならば、特に指摘は必要ない……。これはどっちと判断すべきなのだろうか……。

ここで、ベテラン診断員の先輩に意見を仰いでみることにしました！

ベテラン診断員の見解とその後の対応

先輩に聞いたところ、この場合はURLに「/login」とあることから、開発者側もログインと呼べる認証機能として実装した可能性が高いということです。そのため、この機能を認証機能として診断を進めていくことに決めました。それにあたり会員番号を「ユーザーID」、生年月日を「パスワード」と定義することとしました。

次に、今回の状況についてですが、「パスワードに生年月日を使用することは危険」というのは私が指摘しようした通りでした。しかし、認証の要素として安全ではない生年月日を使っているこの状態では、そもそもログイン機能として成り立っていないのでは？という指摘をいただきました。

なるほど、確かにログイン機能は、利用者を識別する要素と、確実に本人しか知らない要素を使用すべきです。その要件を満たしてこそ「ログイン機能」と呼べる……。そこまでの考えには至っていませんでした。

なので今回は、ログイン機能に対する「パスワードの強度が不足」という指摘ではなく、「ログイン機能実装の不備」として指摘することにしました。

「お客さまに伝わりやすい内容で指摘したい」が根底に

今回の指摘の先にあるゴールは「パスワードの実装の見直し」なので、一見どちらで指摘してもよいのでは……？と思われる方もいらっしゃるかと思います。実際のところ、どちらでも大きな問題は起きません。

しかし、ABURIDA®の方針は「お客さまに寄り添うこと」なので、報告書もよりお客さまに伝わりやすい内容で指摘したい！というのが指摘の根拠にもつながります。今回の場合は、４桁の乱数よりも予測が容易な生年月日がパスワードのように実装されていたため、「ぜひ見直していただきたい」という思いを込めて、「ログイン機能実装の不備」での指摘に落ち着きました。

こうした、ABURIDA®の報告書のこだわりは、過去のブログで紹介されていますので、ぜひこちらもご覧ください！

セキュリティ診断をする上で、物事を正面から見るだけではなく、斜めや下、上からも見ている感覚になったことを、今でも覚えてます。さまざまな面からグレーを白と黒に分けていく作業、セキュリティ診断の奥深さを体感した瞬間でした。先輩方かっこいい……！

まとめ

いかがでしたでしょうか？　セキュリティ診断では、このようなグレーを白と黒に分ける作業もあります。私はまだ診断員になったばかりの初心者で、このグレーが白に寄っているのか黒に寄っているのか、たまに分からなくなります。そういう時は、他の診断員に頭脳を貸していただいて、話し合いながら定めていくことがほとんどです。

昨今はAIツールなどで簡単！時短！といった印象が芽生えている脆弱性診断ですが、場合によっては指摘内容が二転三転したりと、実はこんなに奥深いんです！！！　ツールでは見つけられない脆弱性の判断や定義の振り分けなどは、最終的に診断員が一つひとつ確認して、判断する必要があるのです……。 

今回の記事で、このことが少しでも伝わっていたら幸いです！！

最後まで読んでくださりありがとうございます！

ライター／あーちゃん

新卒で株式会社信興テクノミストに入社し、脆弱性診断の世界に飛び込んでみた普通の20代。診断員歴は、半年とちょっと（2024年8月現在）。好きな脆弱性は「権限周り」（診断員はよく自己紹介に好きな脆弱性を言いがちですが、脆弱性って良いものではないので、「好きな」という表現は違うよね？？と毎回思います。でも書いておきます）。

趣味は、おいしいご飯を食べること、アイドルを眺めること、観劇。日々の趣味を楽しむために働いております！　生きがいです！！　先輩方の背中を追いかけながら、日々脆弱性と向き合っております！　まだまだ駆け出しですが、世の中の方々が安心してWebアプリケーションを利用できるよう、日々成長中です！