水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2005年のえび日記 > 2005年7月 > 2005年7月20日(水曜日)

2005年7月20日(水曜日)

2005年Q2

今期は「ppblogにおけるクロスサイトスクリプティングの脆弱性」「Movable Typeにおけるセッション管理の脆弱性」などとWeb系作成ツールの脆弱性の公表も多い。「全体の傾向として、環境や技術などを必要とするソフトウェアの脆弱性はやはり届けられにくい傾向にある」と、情報セキュリティ技術ラボラトリー長の福澤淳二氏。IPAでは、これらは1サイトの修正で脆弱性が解消されないため、ソフトウェア製品に関する脆弱性に分類している。

以上、スタートから1年、脆弱性情報届出は1日1.4件ペース より

ウェブアプリケーションの脆弱性として届け出られたものがソフトウェアの脆弱性だった場合、別途ソフトウェアの脆弱性として届出し直すことを求められます。追加の届出をすると、それには別の ID がつけられて処理されます。そして、元の届出は元の届出、追加の届出は追加の届出で、別々に終了通知が来ます。なので、このようなケースは「ソフトウェア製品に関する脆弱性に分類」されているのではなくて、両方で処理され、両方でカウントされているのではないかと思いますが……。

2005年第2四半期の傾向として、クロスサイトスクリプティングの届出が減り、その分SQLインジェクションが増えている。

(~中略~)

「SQLインジェクションによる事件がこの期に多く報道されたことや、比較的見つけやすいクロスサイトスクリプティングは初期の段階で既に多く届けられたためだろう」と福澤氏は分析する。

以上、スタートから1年、脆弱性情報届出は1日1.4件ペース より

あうあう、すみません、XSS の届出が減った真の理由はたぶんこんな感じです。

……うわー、前半はともかく後半はホント駄目人間だ……。

幸いにして「情報システム等の脆弱性情報の取扱いに関する研究会 ~運用実績を踏まえた問題点整理と今後の取組み~ (www.ipa.go.jp)」の PDF 文書の中に以下のようなくだりがあります。

3.2.3 運用に際しての法的問題

情報セキュリティ早期警戒パートナーシップの運用を通じて得た知見を踏まえ、新たな法的問題について、発見者、製品開発者、ウェブサイト運営者の観点からそれぞれ検討した。その結果、半年以上の運用を経た段階では、運用上問題となる新たな法的論点は指摘されなかった。ただし、制度の円滑な運用を維持するため、こうした観点について、今後も引き続き検討することが必要と考えられる。

ここから「少なくとも IPA は今までの届出に法的な問題があったとは考えていない」「今までの届出を続けても法的な問題はないと考えて良い」と理解して、法的な面はクリアしたことにします。

ということで来期はがんばりますので許してください。

関連する話題: セキュリティ / IPA / JPCERT/CC / 情報セキュリティ早期警戒パートナーシップ / SQLインジェクション

最近の日記

関わった本など