2005年8月29日(月曜日)

届出情報不受理のご連絡

「[memo:8661] オンラインサービスのログインでID 、パスワードが暗号化されない (www.st.ryukoku.ac.jp)」……IPA に届け出たら不受理だったというお話。結果的にはウェブサイト運営者に通知されて修正されているので幸せな結果ですし、受理・不受理を判断するのも IPA の方のお仕事だと思いますので、不受理をおそれずにバンバン届け出て良いのではないかと思いますけれど。

振り返ってみると、私が届け出たもののなかにも不受理になったものが何件かあります。不受理の理由を挙げてみると……

今回、届出いただきました問題は、RFC2368 を準拠していないことに起因しており、太田様が書かれていますとおり、多くのメールソフトにおいて内在する問題であると考えられます。
しかし、製品におけるバグや機能の欠陥というわけではく、あくまでも仕様であることから、“脆弱性”ではないと判断しました。

これは「JVN#FCAD9BD8 メールクライアントソフトにおける mailto URL scheme の不適切な解釈 (jvn.jp)」の件。当初は上記のような理由で不受理とされたものの、結局は受理されました。不受理件数にもカウントされていないようですので、厳密にはこれは不受理ではないですね。

それからこんなの。

ファイルの公開については、ウェブサイト運営者の運用ポリシーに依存するところであり脆弱性ではないと考えます。
但し、ディレクトリ内のファイル一覧がインターネットから見えてしまうことは、セキュリティ上好ましいことではありませんので、頂きました情報は、ウェブ運営者に伝える予定です。

ディレクトリが丸見えで、Word 文書などがいっぱい公開されていたので、念のため届け出たものです。文書の中身は見ないで届け出たのですが、私が中身を見ていて、それがパスワードや個人情報であったなら、脆弱性として処理されていたかもしれません。

※というか、家では MS Word がなくて Word 文書は簡単には読めないので、Word 文書が公開しても問題ないものなのかどうか分からなかったのです。しかしよく考えると、一太郎で読めたかもしれませんが……そもそも、これ届出者が確認すべきなのかどうか微妙ですね。

※なお、別件で「rootのパスワードが書かれた PDF 文書が丸見え」というのを届け出ていますが、それは受理されています。もっとも、それはずいぶん初期に届け出たもので、当時は「受信」と「受理」が一緒くただったので、今で言う「受理」なのかどうかは分かりません。その件は結局、運営者と連絡が付かずに終了してしまったようです。

丸見えといえば、こんなのもありました。

ソースコードが閲覧可能な状態であることは、セキュリティ上の問題ではなく、ガイドラインで定義する脆弱性には該当しません。
ただし、ウェブアプリケーションを構成するソースコードは、一般的に公開する必要のないものであり、ウェブサイト運営者が意図せず公開している可能性が考えられます。これはセキュリティ上好ましくない問題であることは認識しておりますので、ウェブサイト運営者に届出があった旨を連絡いたします。

これは .inc という拡張子のファイルが丸見えになっていた件。ASKACCS の事件ではソースコードを見ただけで不正アクセスとされているのですが、これは単純に URL を参照したら見えたという話なので、不正アクセスではないと思います。まあ、不正アクセスかどうかはこの際関係ないですか。

……そういえば、不受理ではありませんが、印象に残ったものとしてはこんなのもありましたね。

IPA よりウェブサイト運営者に対して、メールで頂いた情報について説明し、ウェブサイト運営者の対応状況をメール、および電話で何度も確認しました。ですが、ウェブサイト運営者より「本件については問題ない」との返答があるのみで、対応していただけませんでしたので、取扱い終了とさせていただきます。

いやはや、いつもご苦労様です、としか言いようがないですけれども。本当にお疲れ様でした。

「届出情報不受理のご連絡」へのコメント (2件)

前(古い): 2005年8月25日(Thursday)のえび日記
次(新しい): 2005年8月30日(Tuesday)のえび日記