水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 取扱終了は必ずしも平和裏な解決とは限らない

取扱終了は必ずしも平和裏な解決とは限らない

2008年8月4日(月曜日)

取扱終了は必ずしも平和裏な解決とは限らない

ビジネスパーソンの迷惑メール対処術 ウェブサイトの脆弱性 補修完了までに90日!? (www.nikkeibp.co.jp)

今期中に受け付けたソフトウェア製品の届け出69件のうち、今期中に「取扱終了」になったものが23件、「取扱中」が46件だった。ウェブサイトの届け出208件では、「取扱終了」が185件、「取扱中」が23件だった。「取扱終了」は、脆弱性の補修を確認したものや脆弱性ではなかったもののことで、安全になったもののことである。「取扱中」は、補修の完了を確認できていない、危険な状態のままのものだ。

このへんは微妙ですね。取扱終了というのは文字通り取扱を終了したという意味しかありませんので、必ずしも安全になったとは言えません。

まず、「取扱終了」には、単に「Webサイト運営者が脆弱性ではなかったと主張した」というだけのものも含まれています。

SQLインジェクションディレクトリ・トラバーサルなどは、実際に攻撃可能であることを示してしまうとマズイため、脆弱性の存在が推察されるというレベルで届出を行うことになります。そのような場合、Webサイト運営者が「脆弱じゃない」と主張したら受け入れるしかありません。

※もっとも、Webサイト運営者が「脆弱じゃない」と主張する理由が明らかに間違っているというケースもあり、そういう場合は「やはり脆弱なのでは?」と返せます。

XSSなどでは、運営者が修正して完了したとされたものでさえ直っていないケースがままあります。SQLインジェクションやディレクトリ・トラバーサルについても、「運営者は大丈夫だと考えているが実際は……」というケースがそれなりにあるだろうと思います。届出者にはそれを確認する合法な手段がないので、どうすることもできないのが現状です。

さらに、こういうパターンもあります。

本件の取扱いについて、ご相談させて下さい。

2005 年 3 月 28 日に届出情報を運営者へ送付してから、IPA ではウェブサイト運営者に対して 25 回にわたり脆弱性対策を促してきましたが、運営者から脆弱性に対する修正が完了した旨の報告が頂けない状況です。

これはもう「お疲れ様でした」としか言いようがありません。こういうのも取扱終了になります。

逆に、「取扱中」というのも文字通りの意味しかありません。Webサイトが修正されていても、IPAに対して修正完了の報告がない場合は取扱中のままになります。某A社はとっくにサイトリニューアルしているのに修正報告は届出の3年後、なんていう物凄いプレイを見せてくれましたし……。

関連する話題: Web / セキュリティ / IPA / JPCERT/CC / 情報セキュリティ早期警戒パートナーシップ / SQLインジェクション

最近の日記

関わった本など