水無月ばけらのえび日記

脆弱性届出話

更新: 2004年11月4日

「脆弱性情報届出制度は運用しながら改善を～パネルディスカッション (internet.watch.impress.co.jp)」という話ですが、

前に報道されていた話と比較すると、

• 件数が増えた
• 「個人情報漏洩に繋がる脆弱性は届け出られていない」という話が消えた(!)

というところでしょうか。後者はたまたま今回は言っていないだけという可能性もありますが、何となくそうではない気がします。

当然というか問題点がいろいろ出ているようで、

まあ前者は「頑張ってください」というより他ないですね。端から見て何が届け出られているのか分からないので、どうしようもありません。ひょっとすると、某サーバ屋のアレなんかみんなして届け出ていたりするのかもしれない……と思ったりするわけですが、だからといって「きっと届け出られているだろうから良いだろう」というのも外れているかもしれないわけで。届出の情報が公開されない限り、重複は回避できないでしょう。

それから後者、これ、悲しいことにホントに連絡が取れない場合というのが実際にあるようですね。その場合は

……ということになるのですが、そうなったときに発見者はどうすれば良いのかというのが気になるところです。

密かに修正ということはもう期待できませんので、放置なのか、公開なのかの二択になると思いますが……当然、発見者は放置したくないから届け出ているわけでして……情報を公開したほうが良いものかどうか悩みます。

これは激しく同意で、私も一番気になっているところです。高木さんは流石に発見者の気持ちが良く分かっていらっしゃるようで。

しかし少なくとも最初の項目については、ガイドラインで「個人情報漏洩の時は情報を公開する必要がある」としているわけです。逆に言えば、それ以外の時は公開しなくて良いということですから、むしろ制度として「個人情報が漏洩していない場合はヤミ改修で良い」と認めているものだと理解していました。

もっとも、脆弱性によって個人情報が漏洩したかどうかというのは非常に微妙な部分があります。たとえば XSS などはセッション Cookie が盗まれてセッションハイジャックが行われる可能性があり、ログインによって個人情報が閲覧できるなら、個人情報漏洩の可能性もあるはずなのです。しかし実際にはロクな調査もしないで、「XSS がありましたが実害なし」などという判断をして終了ということになるケースがほとんどです。XSS が発覚しても、「この XSS は Cookie を使ってログインするサーバとは別のサーバのものなので、セッションハイジャックのおそれはありません」などと言ってもらえれば、それはそれで安心できると思うのですが……。

※そう言ってもらえない場合というのは、漏洩の可能性が否定できない = 情報公開しようねということになるはず。

ちなみに、届け出られて修正された脆弱性が 5件あるということですが、そのうちの 1件は某 ISP (ニフティではありません) の検索フォームの XSS です。これも全く情報公開された形跡がないですね。

あと、面白いと思ったのは脆弱性情報の届出状況のグラフ (internet.watch.impress.co.jp)。所々にぼこっと大きな山ができているのは、「貯めていたものを一気に吐き出した」人がいるからなのかなぁと思ったり。手持ちの脆弱性がたくさんある場合は、まとめて一度に送るでしょうからね。

※2004-11-04 追記:「某サーバ屋のアレ」は届け出てみたところ、普通に取り扱われて普通に修正の連絡を受けました。つまり、私以外の誰も届け出ていなかったものと思われ……「誰かが届け出ているだろう」という発想はしちゃ駄目みたいです。

• 「脆弱性届出話」にコメントを書く

関連する話題: セキュリティ / IPA / 思ったこと / 情報セキュリティ早期警戒パートナーシップ