慎重な方

思い返すに脆弱性情報をIPAを通じて届出るほど慎重な方が、身元不明な個人ブロガーに情報提供して頂けるはずがないと知るべきでした。

情報セキュリティ早期警戒パートナーシップでは、届出を行った脆弱性関連情報は、取扱終了まで第三者に教えてはいけないというルールになっています。そのルールを守ると、このような連絡はできないということになります。ちなみに、「届出情報受信のご連絡」というメールには、以下のような定型の文章が入っています。

なお、本件の取扱いが終了するまでの間、関連情報を第三者に開示しないようお願いいたします。これは、下記に示す告示の『発見者基準』および、ガイドラインの『発見者の対応』に基づくものです。第三者への開示を希望される場合は、あらかじめ IPA セキュリティセンターまでお問い合わせください。

※これは届出するたびに送られてくるので、100件届け出ると100回読まされます。:-)

厳密に言うと、セキュリティセンターと相談して開示すれば良いということにはなるでしょうが、普通そんな面倒なことはしないかと。

というわけで、慎重かどうかはあまり関係ないように思いますが、「制度を利用する人 = 慎重」というイメージもどうかなぁと思います。私が届出制度を利用するのは「面倒だから」ですし。

その間、一般ユーザーの方々には注意を促せば大丈夫だろうと誤った判断をしてしまいました。過去にも他の方のブログ等でSageの脆弱性が指摘されたことがあり、「脆弱性の存在」を公表するだけならば大きな問題にはならないだろうと甘く考えていたことに対し、深く反省しております。

これはどうなんでしょうね。というのは、JPCERT/CC にしても、身元のよく分からない「ベンダっぽい」人に対して「脆弱性があるよ」と通知しているわけでして。