JVNで連絡不能製品開発者の一覧を公表
2011年9月29日(木曜日)
JVNで連絡不能製品開発者の一覧を公表
公開: 2011年10月8日21時50分頃
IPAからこんなプレスリリースが出ていますね……「届出された脆弱性関連情報における連絡不能な製品開発者の一覧を公表 (www.ipa.go.jp)」。
製品開発者と各種の連絡手段を用いて連絡を試み、連絡先が不明または一定期間に渡り全く応答が無い製品開発者については、JVNにて「連絡不能開発者一覧」として公表(製品開発者名または製品開発者を特定できる情報)し、IPA、JPCERT/CCが連絡を求めていることを周知
公表後、一定期間(約3か月)を経過しても応答が無い場合は、製品情報(具体的な対象製品の名称およびバージョン)を追加で公表し、広く製品の関係者からの連絡を求めていることを周知
リストは既にJVNの「連絡不能開発者一覧 (jvn.jp)」で公開されていますので、心当たりのある方は連絡しましょう。
脆弱性が届け出られても、連絡不能で取扱終了になってしまうケースや、連絡に非常に時間がかかるケースなどがあります。パッケージ製品として販売されているものは比較的連絡がつきやすいでしょうが、そうでないものにも脆弱性はあるわけです。
個人的に良く経験しているのは、以下のようなパターン。
- ウェブサイトの脆弱性らしきものを発見
- いろいろ調べてみると、どうもフリーで配布されているCGIプログラムっぽい
- 配布元のサイトを発見
- そこに設置してある設置サンプルを調査すると、脆弱性と思われる挙動が再現
このような場合、ウェブサイトの脆弱性ではなく、ソフトウェア製品の脆弱性ということになります。
しかし、この手のフリーCGIの配布元は、個人サイトだったりすることも多いです。サイトの最終更新日が何年か前だったりすることもあり、そうなると「これ連絡つくのか?」と不安に思いつつも届け出るという感じになります。
それでも、意外に連絡はつくものです。おそらくIPAやJPCERT/CCの中の方が頑張っておられるのでしょう。頭が下がります。
しかしまあ、どうしても連絡がつかない場合というのもあるわけで。ウェブサイトの場合、何年か経ったらサイトが閉鎖されていて解決、というパターンが良くあるのですが、ソフトウェア製品の場合はそうも行きません。たとえ配布されなくなっても、古いものが使われ続けている可能性があるからで、うやむやに終わらせるわけには行きません。
というわけで、連絡がつかない人を公開してみて、その後は随時情報を公開していくという方針なのでしょう。今のところ、脆弱性関連情報そのものを公開するというところまでは行ない想定のようですが、将来的にはどうなのでしょうね。
- 「JVNで連絡不能製品開発者の一覧を公表」にコメントを書く
関連する話題: セキュリティ / IPA / JOCERT/CC / JVN / 情報セキュリティ早期警戒パートナーシップ
- 前(古い): もうダマされないための「科学」講義
- 次(新しい): 大つけ麺博 その4 頑者×クレヨンしんちゃん / しんちゃんつけめん
