このたび、ライブドアブログの管理機能において、不正な操作を可能とする脆弱性(セキュリティ上の不具合)の報告を受け、修正を完了したことをお知らせいたします。
概要
ライブドアブログの管理機能において、不正な操作(一部ブログを対象とした第三者による非公開記事のタイトル・本文の取得や記事の投稿・編集・削除、画像の投稿など)を可能とするセキュリティ上の不具合(以下、本脆弱性)が存在していたことが、社外のセキュリティ研究者の方からバグ報告を受け付ける「LINE Security Bug Bounty Program」(*1) からの報告により判明いたしました。なお、本脆弱性は2021年7月27日および8月2日の修正により、現在は解消しております。
また、当社にて保有している範囲のログ(2020年12月16日以降)、およびユーザー様からのお問い合わせ状況を確認したところ、本脆弱性に伴う不正な操作の痕跡は現時点では確認されておりません。
ユーザー様側で必要な対応
当社にて修正を完了しておりますため、ユーザー様側で必要な対応は基本的にはございません。
しかしながら、本脆弱性が存在していた全期間のアクセスログが残っておらず、アクセスログからでは悪用の検知が難しいケースもございますため、本件に関連して不正な操作(意図しない記事の投稿や編集や削除、画像の投稿など)が行われたのではないかという心当たりがございましたら、文末にあるお問い合わせフォームよりご連絡ください。お寄せいただいた情報を元に調査をさせていただきますが、ログが残っていない期間につきましては十分な調査ができないことをご承知おきください。
ユーザー様にはご迷惑とご心配をおかけいたしますことをお詫び申し上げます。
本脆弱性の詳細について
本脆弱性の詳細は、以下の「1. AtomPub APIの認証不備」と「2. 管理画面のエクスポートページ上でのXSS脆弱性」のとおりです。
1. AtomPub APIの認証不備
外部ブログエディタを利用する場合などに必要となるAtomPub API(*2)において、認証機能の不備があり、AtomPub APIを利用するためのAPIキー(*3)を発行していないブログにおいて、認証を行わずにAtomPub APIを利用することが可能な状態でした。
■想定される被害
対象となるブログにおいて、 AtomPub APIの機能を、第三者によって不正に利用される可能性がございました。
具体例)
・一般に公開されていない記事(下書き記事やパスワードがかかっている記事)(*4)のタイトルや本文を取得できた可能性がある
・記事の投稿、編集、削除ができた可能性がある
・画像の投稿ができた可能性がある
■ 対象ブログの条件
APIキーを発行していないブログ
※APIキーを発行しているブログは今回の脆弱性の影響を受けません
■ 本脆弱性の発生日
2013年12月18日
■ 本脆弱性の判明日
2021年7月27日 18:22
※「LINE Security Bug Bounty Program」からの報告によるもの
■ 本脆弱性の修正日
2021年7月27日 19:45ごろ
■ 不正利用の調査
調査日(2021年7月28日)時点でAPIキーを発行していないブログにおいて、保有しているログ(2020年12月16日〜2021年7月28日)を調査したところ、本脆弱性に伴う不正な操作の痕跡は現時点で確認されておりません。
なお、下記のケースについては調査の対象外となっております。
・すでに退会されたブログ
・2020年12月16日から7月27日までの間にAPIキーを発行したブログ
※APIキーを発行しているブログは今回の脆弱性の影響を受けません
・ログを保有していない期間(2013年12月18日の脆弱性発生時から2020年12月15日)
2. 管理画面のエクスポートページ上でのXSS(*5)脆弱性
管理画面内に、記事データをエクスポートする機能のページ(*6)(以下、本ページ)があり、その中に記事カテゴリを指定してエクスポートするオプションがございます。
このオプションにおいて、表示されたカテゴリ名が正しくエスケープ処理(HTMLタグの無効化) されておらず、任意のHTMLタグを表示できる状態でした。
■ 想定される被害
悪意のあるブログ管理者(以下、攻撃者)がカテゴリ名に任意のスクリプト実行を意図した文字列を設定した場合、当該ブログの共同管理者(以下、被害者)が本ページを閲覧すると、ライブドアブログ管理画面上で当該スクリプトが実行される可能性がございました。
具体例)
・スクリプト実行により被害者のセッション情報を盗み、被害者が管理画面で可能な操作を攻撃者が行うことができた可能性がある
■ 本脆弱性の発生日
2009年1月27日
■ 本脆弱性の判明日
2021年7月28日 18:45
※「LINE Security Bug Bounty Program」からの報告によるもの
■ 本脆弱性の修正日
2021年8月2日 09:30ごろ
■ 不正利用の調査
調査日(2021年8月5日)時点で保有しているログ(2020年12月16日〜2021年8月5日)、および、脆弱性の性質上ログのみでは悪用の判別が困難であるため、8月4日時点でのカテゴリ名の調査を併せて実施したところ、本脆弱性に伴う不正な操作の痕跡は現時点で確認されておりません。
なお、下記のケースについては調査の対象外となっております。
・すでに退会されたブログ
・ログを保有していない期間(2009年1月27日の脆弱性発生時から2020年12月15日)
・変更・削除された記事カテゴリ
用語
(*1) LINE Security Bug Bounty Programとは
LINEが実施している、社外のセキュリティ研究者の方から脆弱性の報告を受けつけているプログラムです。
https://bugbounty.linecorp.com/ja/
(*2) AtomPub APIの機能について
本機能の説明はヘルプにてご確認ください。
(*3) APIキーとは
AtomPubを利用するための専用のパスワードのことです。livedoor IDのログイン用のパスワードとは異なります。AtomPub用パスワードは、管理画面の「AtomPub APIページ」で発行・確認できます。
(*4) 一般に公開されていない記事とは
下書き記事やパスワードがかかっている記事のことです。
ライブドアブログでは、記事を非公開の下書き状態で保存しておくことができます。
また、記事単位やブログ単位でパスワードを設定し、閲覧者を制限する機能があります。管理画面の「プライベートモードの設定」ページで設定できます。
(*5) XSSとは
Cross-site scripting (クロスサイトスクリプティング)のこと。
ブラウザで表示している Webページ上で任意のスクリプトを実行可能になる脆弱性。
(*6) 記事データをエクスポートする機能
管理画面の「ブログの書き出しページ」でテキストファイルを書き出しすることができます。
お問い合わせフォームについて
ヘルプページ「お問い合わせ」内にあるお問い合わせフォームより、お問い合わせをお願い致します。
お客様にはご迷惑とご心配をおかけいたしますことを、重ねてお詫び申し上げます。
また、本脆弱性は「LINE Security Bug Bounty Program」からの報告により判明しております。この場を借りてお礼申し上げます。
今後ともライブドアブログをよろしくお願いいたします。
某社の担当者に詰めの垢を飲ませたいです。
快適な環境をありがとうございます。
ライブドア スタッフ
がしました