2023年のサイボウズ脆弱性報奨金制度を振り返って

こんにちは、Cy-PSIRTの山西です。 本年でサイボウズの脆弱性報奨金制度はおかげさまで10周年を迎えました。 ここまで制度を続けることができたのは、いつも支えてくださる皆様のおかげです。 このエントリでは、2022年12月17日~2023年12月31日(以降、2023年と記載)で実施した報奨金制度を振り返りたいと思います。

サイボウズ脆弱性報奨金制度とは

サイボウズが提供するサービスに存在する脆弱性を早期に発見し、改修することを目的とする制度です。 対象製品の脆弱性を発見し、ご報告いただいた方に謝礼として報奨金をお支払いします。

2023年の活動

バグハンター合宿の開催

今回、4年ぶりとなる「サイボウズ バグハンター合宿2023」を2023/11/18(土) ~19(日)に開催しました。 これまでにイベントや活動等を通して弊社との繋がりのある方にバグハンター合宿への招待をお送りし、9名に参加いただきました。 合宿期間中は合宿限定の特別対象製品を用意したり、特定製品のソースコードの閲覧ができたりという特典がありました。 チーム戦で実施し、スコアがもっとも高かったチームに賞品を授与いたしました。報奨金は、報告したハンター個人に別途お渡ししております。 ご参加いただいた皆様ありがとうございました。

詳細につきましては、ニュースリリースをご参照ください。

Webサイトのリニューアル

報奨金制度の Webサイトをリニューアルしました。

着信数と認定率

全体

着信数 認定数 認定率 支払額
全体 90件 28件 29% 2,555,000円
(バグハンター合宿) 52件 17件 33% 1,440,000円

2023年は、前年からの報告数・認定数を上回る結果となりました。 バグハンター合宿での報告数が半数以上を占めております。

製品毎の報告数

製品名*2 認定する 認定しない 合計
サイボウズ Office 14 10 24
Garoon 6 14 20
メールワイズ 3 4 7
Garoon プラグイン*3 2 8 10
kintone 1 8 9
kintone プラグイン*3 1 4 5
KUNAI for Android*4 1 0 1
サイボウズ共通管理 0 8 8
cybozu.com store 0 3 3
Garoon モバイル for iOS 0 1 1
その他 0 2 2

脆弱性認定については、去年に引き続きGaroon・Officeが中心となっていますが、今回はバグハンター合宿で特別製品として公開した プラグインについてもご報告いただいております。

本年も、様々な機能が追加されておりますので、アップデート情報についてもぜひご覧ください。

製品名 リンク
Office https://office-users.cybozu.co.jp/update/cloud/
メールワイズ https://mailwise.cybozu.co.jp/exist/update/
kintone https://kintone.cybozu.co.jp/update/main/
Garoon https://garoon.cybozu.co.jp/support/cloud/update/

CWE別報告数

CWEタイプ 着信数
CWE-79:Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') 4
CWE-284:Improper Access Control 4
CWE-20:Improper Input Validation 3
CWE-94:Improper Control of Generation of Code ('Code Injection') 1
CWE-200:Exposure of Sensitive Information to an Unauthorized Actor 1
CWE-285:Improper Authorization 1
CWE-DesignError 設計上の問題 1
CWE-Other その他 7

例年、CWE-285 が上位を占めておりましたが、今回はバグハンター合宿で普段公開していない製品を公開したということも有り、 例年とは異なり CWE-79 についての報告が1番多い認定となりました。

Cybozu賞

2023年に頂いたご報告の中から、特に弊社製品の改善につながった報告に対してCybozu賞をお渡しいたしました。 セキュリティ上の観点の見直しに繋がった、通常の検証では見つけることが難しかったなどの理由で選定となりました。

受賞した報告は以下の通りです。

報告者名 サイボウズ脆弱性識別番号 製品名
閏間 修一 様 CyVDB-3607 Garoonプラグイン
佐々木 様 CyVDB-3609 Office
Masato Kinugawa 様 CyVDB-3638 Garoon
Masato Kinugawa 様 CyVDB-3641 Office

今後の活動

10周年記念イベント

まだ、検討段階ではありますが、ご報告いただいたバグハンターの方々へ感謝を伝えることが出来るような企画を検討しております。 ご参加いただけますと幸いです。

施策について

アンケートの実施

報奨金制度にご参加いただいている皆様に、報告に対するモチベーション・制度で困っていること・欲しい情報などをヒアリングし、 制度改善につなげるためにアンケートの実施を予定しております。 制度への要望など、この機会にぜひご意見をお寄せください。

プライベートプログラムの実施

現在、プライベートプログラムの実施を検討しております。 これまで弊社製品の脆弱性報告にご尽力いただいた方を中心にご招待します。 普段対象としていない製品やリリース前の製品を報奨金制度の対象として報告出来るなど、特別なプログラムを予定しております。

最後に

サイボウズ製品のセキュリティ品質向上にご協力いただき、ありがとうございました。 「サイボウズにこのような企画や施策を実施してほしい」というご要望などございましたら、 報告用サイトその他のお問い合わせフォームよりお気軽にお寄せください。

今後ともサイボウズ脆弱性報奨金制度をよろしくお願いいたします。

*1: 報奨金制度と関係なく、脆弱性診断を実施したい場合に利用できるようページを分けました

*2:執筆時点での対象製品となります。最新の対象製品は脆弱性報奨金制度ページよりご確認ください。

*3:プラグインの脆弱性はバグハンター合宿限定の報告対象となっており、執筆時点では報奨金制度としては報告を受け付けておりません。

*4:「サイボウズ KUNAI」サポート終了に伴い、2023年10月20日をもちまして、脆弱性報奨金制度の対象外としております。