水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 脆弱性の連絡先が分からない場合

脆弱性の連絡先が分からない場合

2010年1月21日(木曜日)

脆弱性の連絡先が分からない場合

公開: 2010年1月25日16時40分頃

こんなお話が。

私は発見した後、このブログサービスを提供している「はてな」においてのid:guldeen アカウントハック事件を思い出し、サイト運営への早急な報告が必要と思い窓口を探した。

まずこれが最初の問題だがこの窓口がなかなかみつからなかった。

以上、楽天である条件の下だと別のユーザーでログインできてしまう件+α より

既にブックマークコメント等でも指摘されている方がいますが、そういう場合は情報セキュリティ早期警戒パートナーシップの制度を利用してIPAに届け出ると良いと思います。届出に際しては「ウェブサイトの連絡窓口」を書く必要があるのですが、探しても見つからない場合は、堂々と「不明」と書いてしまって問題ありません。それでもちゃんと受理してもらえます。

情報セキュリティ早期警戒パートナーシップガイドライン (www.ipa.go.jp)には以下のように書かれています。

5) ウェブサイト運営者への連絡

なお、ウェブサイトに掲載された宛先情報をもとに電子メールや郵便、電話、FAX 等いずれの手段でウェブサイト運営者に脆弱性関連情報に係わる問い合わせを試みても、一定期間にわたり的確な答えがない場合、IPA は、その脆弱性の影響範囲や取扱い期間を考慮して取扱いを終了することがあります。

以上、情報セキュリティ早期警戒パートナーシップガイドライン V. 3. 5) ウェブサイト運営者への連絡 より

電子メール以外にも電話、FAX、郵便まで利用してコンタクトを試みていただけることになっているので、たいてい何とかなります。それでもコンタクトができずに取扱終了になってしまう場合もありますが、きわめて少数です。

※なお、ここでは「ウェブサイトに掲載された……」とありますが、このほかにもWhoisの情報を検索して連絡を試みたりもしていただいているようです。

関連する話題: Web / セキュリティ / IPA / 情報セキュリティ早期警戒パートナーシップ

人気のページ

最近の日記

関わった本など

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト