An opinion of the IPA about a password reminder in plaintext.
パスワードリマインダーで平文テキストで送られる件についてのIPAの見解。
表題の件で、IPAから公開許可も頂いたのでやりとりを公開します。
まず、Twitter上でパスワードリマインダーの話を見かけて、あのサイト達は今どうなってるんだろうと思って、久しぶりにサイト上のパスワードリマインダーにアクセスしてみると、以前と変わらず生のテキストでパスワードが送付されていたのがそもそもの発端。
加えて、最近IPAに(上記とは関係のない)XSSの報告を2回ほどしていた経緯もあり、IPAの見解を聞いてみたくなったのでメールで問い合わせしてみました。
最初のメールは以下のもの。 (出したメールそのままでは見づらくなるので適宜改行を加えています)
複数のサイトで以下のようなパスワードリマインダーシステムが存在
するのですが、これはIPAで脆弱性と認識されているかどうかという
点で質問です。
もし脆弱性と認められるということであれば、別途脆弱性届出を行い
たいと思っておりますので、ご回答頂ければ幸いです。
ケース1
1. httpsで運用されているWebサイト上でパスワードリマインダーを選択
2. メールアドレスと登録されている誕生日を入力して送信
3. 合致していれば、登録されているメールアドレス宛に、平文で登録
したままの生のパスワードが送られてくる
ケース2
1. httpもしくはhttpsで運用されているWebサイトで登録されたユーザ
IDとメールアドレスを入力
2. パスワードリマインダー送信
(補足:ユーザIDとパスワードを使ってログインする画面と同じ画面
にパスワードリマインダー送信ボタンがあります)
3. ユーザIDとメールアドレスが合致していればメールアドレス宛に登
録したパスワードとは違うランダムな生のパスワードが送られてくる
この2つのケースでどちらも「生のパスワード」がメールアドレス宛に
送られてくるのですが、どちらもIPAでの認識として脆弱性と呼べるの
でしょうか?
例えばIPAで公開されている以下のセキュア講座では「合言葉」につい
ての言及はありますが、生のパスワードについての言及がありません。
http://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/101.html
このメールを送信してから、しばらくしてIPAの中の人から以下のように返事がありました。 (IPAの要望により個人名を伏せています)
平素は当機構事業運営に格別のご理解、ご支援を賜り厚くお礼申し上げ
ます。IPA セキュリティセンターのXXです。
いただいたご質問に回答いたします。
該当のサイト等の情報まで見ない限り断言はできませんが、仮に平文で
パスワードを送信されるという点を問題視されているということであれ
ば、IPA ではそれはサイトの考えになると考えており、IPA で取り扱う
脆弱性ではないと考えます。
ただし、この判断はサイト等の情報によって変わる可能性はあります。
また、たとえ脆弱性としては取り扱わなくとも、参考情報扱いとして運
営者にお伝えする対応を行うこともあります。
本件のような場合ですと、基本的に参考情報扱いとして運営者にお送り
することになると思います。
もし参考情報扱いとしてでも運営者にお伝えしたいということであれば、
お手数をおかけいたしますが、別途脆弱性届出をしていただければ、と
思います。
サイト毎に判断ということのようで、このようにすべきという見解は無いとのこと。
ある意味当然かと思うところもあったのですが、「サイトの考えになる」という点が興味深かったので、このやりとりを公開しても良いか返信を出したところ、快く公開許可を頂いたと共に補足情報として、以下の内容を頂きました。
また、先の回答に関して一点補足いたします。
-------------------------------------------------------------
<補足>
参考情報として送付する際には、IPA からは平文でパスワードを送付し
たりすることの危険性について、下記の例のような文章を記載した上で
通知いたします。
例)
通信経路の盗聴やメールアドレスの登録ミスなどにより、メールの内容
を第三者が知ることができた場合、パスワードが漏えいしてしまうため、
パスワードそのものをメールで通知することは、セキュリティ上好まし
くありません。
そのため、パスワードをメールで通知しない運用をご検討いただければ
幸いです。
この補足内容を合わせると個人的には納得も出来たので、脆弱性届出を出してみようと思います。