水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2008年のえび日記 > 2008年10月 > 2008年10月11日(土曜日)

2008年10月11日(土曜日)

情報セキュリティ早期警戒パートナーシップガイドラインに関するいくつかのメモ

第02回まっちゃ445懇親会で、「IPAから言われても脆弱性を修正する気配がない人がいたりするが、どうしたら良いのか」「IPAが名前を公表したりするのは難しいようだ」「では発見者が公表するしかないのか」というような話が出ていました。

だいぶ時間が経ってしまいましたが、あらためて「情報セキュリティ早期警戒パートナーシップガイドライン (www.ipa.go.jp)」を確認してみたので、いくつかメモしておきます。

修正期間はどのくらいなのか

まず、ウェブサイト運営者が修正にかける期間について。「Ⅴ.ウェブアプリケーションに係る脆弱性関連情報取扱」の「4.ウェブサイト運営者」の「1) 脆弱性関連情報への対処」に規定があります。

ウェブサイト運営者は、通知を受けたら、脆弱性の内容の検証および脆弱性の及ぼす影響を正確に把握した後、影響の大きさを考慮し、脆弱性を修正してください。また、当該脆弱性関連情報に関して検証した結果、および修正した場合その旨をIPA に連絡してください。この連絡は、IPA から脆弱性関連情報の通知を受けてから、3 ヶ月以内を目処としてください。

つまり、修正には3ヶ月かけて良いことになっています。2ヶ月間何もなかったからといって、「直す気がまったくない」と判断してしまうのは早計だということです。取り扱い開始から3ヶ月は温かく見守りましょう。ちなみに、届出から3ヶ月ではないので注意が必要です。

ちなみにソフトウェア製品の場合は以下のようになっていて、

なお、一般への公表日は、IPA およびJPCERT/CC が脆弱性関連情報の取扱いを開始した日時((1)2)参照)から起算して、45 日を目安とします。公表に更なる時間を要する場合は、JPCERT/CC と相談してください。

こちらは半分の45日が目安です。

※もちろん、いずれも単なる目処・目安でしかありません。単なるXSSなのに取り扱い開始から修正完了の報告まで2年以上を費やしたケースもあります。

脆弱性関連情報とは何か

ガイドラインには「脆弱性関連情報」という言葉が何度も出てきます。言葉の印象からすると、脆弱性に関連する情報であれば何でも該当しそうに思えますが、実はけっこう厳密に定義されています。

脆弱性関連情報とは、脆弱性に関する情報であり、次のいずれかに該当するものです。

1) 脆弱性情報

脆弱性の性質及び特徴を示す情報のことです。

2) 検証方法

脆弱性が存在することを調べるための方法です。例えば、特定の入力パターンにより脆弱性の有無を検証するツール等が該当します。

3) 攻撃方法

脆弱性を悪用するプログラムやコマンド、データおよびそれらの使い方です。

例えば、エクスプロイトコード(付録4にて述べます)や、コンピュータウイルス等が該当します。

定義はこれだけです。これらに該当しないものは、ガイドラインの言う「脆弱性関連情報」には該当しません。脆弱性について何か語っていたとしても、「脆弱性情報」「検証方法」「攻撃方法」以外のものは「脆弱性関連情報」にはならないということになります。

「○○というサイトが脆弱だ」というだけの情報があったとしますと、これは脆弱性について述べていますが、具体的にどこがどのように脆弱なのかという情報は欠けています。性質や特徴についても述べられていませんし、検証方法や攻撃方法についても述べられていません。このようなものは「脆弱性関連情報」には該当しないと考えて良いでしょう。

発見者とは

ガイドラインでは「発見者」という言葉が何度も出てきますが、この用語も直感とは異なる定義がなされています。

発見者とは、脆弱性関連情報を発見または取得した人を含みます。例えば、ソフトウエアの脆弱性を発見した人や、インターネット上で脆弱性関連情報を入手した人などが当てはまります。ソフトウエアの脆弱性を発見した人のみを対象としているわけではありません。

自分で発見したのではなく、伝聞によって取得した場合でも「発見者」となります。

脆弱性関連情報がゼロデイでWebにさらされたりすると、発見者が大勢現れることになります。

脆弱性関連情報の管理

ガイドラインには以下のような記述もあります。

発見者は、脆弱性が修正されるまでの間は、脆弱性関連情報が第三者に漏れないように適切に管理してください。また、脆弱性関連情報を開示する場合には、IPA に問い合わせてください。

先に検討したとおり、ここで言う「発見者」は伝聞によって脆弱性関連情報を取得した人を含みます。

また、これも検討したとおり、「脆弱性関連情報」とは「脆弱性情報」「検証方法」「攻撃方法」に限られていますから、それら以外の情報については適宜開示してもかまわないのだと解釈できます。

付録にはこういう記述もあります。

脆弱性関連情報の公表は、その情報の内容が真実と異なることを知っていた場合、あるいは,真実である場合であっても、特定人の名誉を毀損する意図で公表がなされ、かつ、公共の利益と無関係である場合には、刑法の名誉毀損罪に触れる可能性があります。

……。まあ、そりゃそうですね。

……というわけで、「○○というサイトは脆弱だ」とか「○○というサイトについて届け出た」という程度の事実であれば、取扱中であっても適宜開示して良いように思えます。

実際、検証方法や攻撃方法を伴わない情報が開示されても即座に悪用することは難しいはずですので、開示しても支障はないものと判断しているのでしょう。また、表現の自由との兼ね合いで、開示の規制は最小限にとどめているのだろうとも思います。

ただ、なんか最後に変な釘を刺されているのが微妙です。脆弱性関連情報の開示は、たいてい対策を促す目的でなされるわけで、それが公共の利益と無関係ということはないだろうとは思うのですが……。

関連する話題: セキュリティ / Web / IPA / JPCERT/CC / 情報セキュリティ早期警戒パートナーシップ

最近の日記

関わった本など