脆弱性の連絡先が分からない場合
2010年1月21日(木曜日)
脆弱性の連絡先が分からない場合
公開: 2010年1月25日16時40分頃
こんなお話が。
- 楽天である条件の下だと別のユーザーでログインできてしまう件+α (d.hatena.ne.jp)
- 全楽天ユーザーが今すぐに登録情報の実名をハンドルネームにすべきたった1つの理由 (d.hatena.ne.jp)
私は発見した後、このブログサービスを提供している「はてな」においてのid:guldeen アカウントハック事件を思い出し、サイト運営への早急な報告が必要と思い窓口を探した。
まずこれが最初の問題だがこの窓口がなかなかみつからなかった。
既にブックマークコメント等でも指摘されている方がいますが、そういう場合は情報セキュリティ早期警戒パートナーシップの制度を利用してIPAに届け出ると良いと思います。届出に際しては「ウェブサイトの連絡窓口」を書く必要があるのですが、探しても見つからない場合は、堂々と「不明」と書いてしまって問題ありません。それでもちゃんと受理してもらえます。
情報セキュリティ早期警戒パートナーシップガイドライン (www.ipa.go.jp)には以下のように書かれています。
5) ウェブサイト運営者への連絡
なお、ウェブサイトに掲載された宛先情報をもとに電子メールや郵便、電話、FAX 等いずれの手段でウェブサイト運営者に脆弱性関連情報に係わる問い合わせを試みても、一定期間にわたり的確な答えがない場合、IPA は、その脆弱性の影響範囲や取扱い期間を考慮して取扱いを終了することがあります。
電子メール以外にも電話、FAX、郵便まで利用してコンタクトを試みていただけることになっているので、たいてい何とかなります。それでもコンタクトができずに取扱終了になってしまう場合もありますが、きわめて少数です。
※なお、ここでは「ウェブサイトに掲載された……」とありますが、このほかにもWhoisの情報を検索して連絡を試みたりもしていただいているようです。
- 「脆弱性の連絡先が分からない場合」にコメントを書く
関連する話題: Web / セキュリティ / IPA / 情報セキュリティ早期警戒パートナーシップ
- 前(古い): ハトミミ.com始動
- 次(新しい): とらぶるクリック!! 04
