水無月ばけらのえび日記

製品開発者が脆弱性ではないと主張した場合

totoroさんのところに、「昨年にIPAに対して報告していた、脆弱性について、今し方回答が来た (d.hatena.ne.jp)」というお話が出ています。まあ良くある話ですが……。

ただ、「IPAも脆弱性じゃ無く、仕様と認められてる」というのはちょっと微妙な感じがします。IPA が脆弱性ではないと判断した場合、製品開発者に連絡が行く前の時点で「届出情報不受理」になるはずです。中には「脆弱性の定義には当てはまらないが、セキュリティ上好ましくない動作であると判断したので一応通知する」というような微妙な判断がなされるケースもありますが、その場合はそういう連絡が来るはずです。それがないのであれば、IPA は脆弱性だと判断して通知したのでしょう。

IPA と JPCERT/CC は脆弱性関連情報の検証や伝達を行ってくれますが、製品開発者に対して「修正しろ」と命令したり指導したりすることはできませんので、製品開発者があくまで脆弱性でないと言い張った場合にはどうにもならないのですね。

※「JVN#9ADCBB12 携帯電話端末における特定 QR コードを使用したサイト接続時の問題 (jvn.jp)」も、IPA は脆弱性だと判断したが製品開発者が脆弱性ではないと主張したケースなのでしょう。

• 「製品開発者が脆弱性ではないと主張した場合」にコメントを書く

関連する話題: セキュリティ / IPA / JPCERT/CC / 情報セキュリティ早期警戒パートナーシップ / 携帯電話