【Scan Advisory Board 2004/07】IPA/ISECの脆弱性に関する届出の行方 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.24(日)

【Scan Advisory Board 2004/07】IPA/ISECの脆弱性に関する届出の行方

製品・サービス・業界動向 業界動向

〜実際に手順に沿った届出を行ってみて〜

 情報処理推進機構 セキュリティセンター(IPA/ISEC)は7月8日からソフトウェアやウェブアプリケーションの脆弱性に関する届出の受付を開始しました。既に10件以上が寄せられていますが、その数が多い少ないで判断するよりも、どれだけ社会へ貢献したかで評価することが必要でしょう。その理由として、コンピュータウイルスの届出件数と同じで、届出は任意だからです。実際にコンピュータウイルスに感染した被害台数は、届出件数をはるかに上回っていました。脆弱性の届出件数も、実際の届出件数の方が多くなることは間違いないでしょう。このため、脆弱性に関する届出件数を公表されれば、おそらくマスコミはコンピュータウイルスの届出件数と同様に取り扱われる可能性が高く、脆弱性の届出件数の推移が優先的に報道されるでしょう。それよりも、届けられた中身によって、どれだけ情報社会に貢献しているのか評価していくべきです。スタートしたばかりですから、疑問や不満もあるかもしれませんが、長い目で見ることが肝心です。そこで、今回は、ある状況下で偶然発見した脆弱性を届けたケースを紹介します。これにより、もし脆弱性を発見した場合、IPA/ISECへ届ける際の参考にして頂ければ幸いです。

>> システムの脆弱性に関する届出の背景

 この届出が生まれた背景の一つとして、パソコンのOSやアプリケーションに潜在する脆弱性の存在があります。セキュリティホール、設計上の仕様、運用時における設定ミス――などによる脆弱性は、コンピュータウイルスの開発に応用されたり、不正アクセスの攻撃対象となります。このような脆弱性は、悪意あるコードの開発者や情報セキュリティの専門家が発見するとは限りません。普通に情報システムを使っている利用者でも、偶然のタイプミス、誤操作から脆弱性を発見しまうことがあるのです。また、最近ではインターネットの掲示板、不正アクセスを防止する為と偽証してハッキングの手口を紹介する悪書によって得られた知識から身近なシステムの脆弱性を発見することも増えてきています。こうして見つけた脆弱性は、情報システム部門の担当者や直接業者に問合わせることが一般的な解決方法でした。ところが指摘された一部の企業では、設計仕様に深く関わっているために対処を先延ばしにしたり、システムに詳しくない報告者を無視するケースが見られるようになりました。このため、情報システムのセキュリティ上のトラブル(インシデント)による被害を拡大させない為にも、脆弱性の問合わせの窓口を一本化して処理する必要性が生じ、今回の届出の仕組みが動き出したのです。

>> 思ったより届出は簡単

 発見したシステムに関する脆弱性は、電子メールによって指定された書式で届出ることができます。今回は有資格者名簿CDから個人情報を抜き出すソフトウェアに脆弱箇所が存在した場合を例に説明していきます。ご覧になる通り、脆弱性の報告は、決められた書式に従って書いていきます。この届出は郵送では受け付けておらず、電子メールで行うようになっています(将来的にはホームページからも受け付けるようになるそうです)。ちなみに、このサンプルで書かれているケースは、IPA/ISECから、脆弱性ではないとの了解を得ましたので公開します。また、今後名簿ソフトを開発する場合には、十分に配慮すべき事例となると思われるので、注意を促す意味からも読んで頂ければ幸いです。


====実際に届出たメール (一部伏字にしています) ここから====

2004年7月9日
0. 取扱い方針
■ 脆弱関連情報の取扱いプロセスに則り、脆弱性関連情報を取扱うことへの了解

  了解しました。

1. 届出者情報
1) 届出者情報
住所(都道府県):XXXXXXXXXXXX
所属:XXXXXXXXXX
氏名:XXXXXX
電子メールアドレス:XXXXXXXXXXXX
TEL:XXXXXXXXX
FAX:ありません

2) 届出者情報の取り扱いについて
□ 連絡先を開発者に知らせても良い
□ 連絡先を調整機関に知らせても良い
■ 連絡先を開発者および調整機関には知らせず、すべてのやりとりをIPAとのみ行う

3)対策情報公表時の届出者情報の掲載について
■ 希望する □ 希望しない

2. 脆弱性関連情報
1) この脆弱性関連情報の入手先
■ 自分で発見した □ 人から入手した
□ ウェブサイトから入手した(URL: )

2) 脆弱性を確認したソフトウエア等に関する情報
名称:東京XXX士会 会員名簿CD-ROM
   発行元:東京XXX士会
バージョン:ありません
パッチレベル*:ありません
言語:日本語
設定情報:とくにありません

3) 脆弱性の種類
    会員の個人情報の漏洩

4) 再現手順
    CD-ROMから起動されるソフトウェアで表示される個人情報については、画面上でコピー&ペーストはできない。しかし、印刷が可能になっている為に、Adobe AcrobatをインストールされているPCからはPDF形式で出力可能である。PDF形式になった場合、Acrobat Reader等の閲覧ソフトによって、個人情報が用意にコピー&ペーストが可能となる。これにより、他のアプリケーション、データベース等に個人情報を複写することが可能となり、個人情報の流出する可能性が考えられる。

5) 再現の状況
■ 常に □ 時々 □ まれに
補足説明(バージョンによる、言語による、などを記入)

6) 脆弱性により発生しうる脅威
  同ソフトウェアは、どこかのSI会社に委託されて開発された可能性があり、開発元が別組織の会員名簿のエンジンに搭載されて利用している可能性があると推測される。IPAに期待するのは、今回漏洩の対象となった媒体のみの処置に限定せず、開発元を掌握し、他の名簿CD-ROMに対しても情報の漏洩を促す助言を期待しています。

7) 回避策
  システム設計上のミスであるため、設計仕様の見直しが妥当と思われます。

8) 検証コード*
   検証コードはありません。

9) その他

3. IPA 以外の組織への届出について
□ あり ■ なし
届出年月日:
届出番号:
窓口担当者:
窓口メールアドレス:
窓口電話番号:

4. 今後の連絡について
1) 対策情報の公表の連絡を希望するか
■ 希望する □ 希望しない

2) IPA からの連絡における暗号化
□ 希望する ■ 希望しない
※希望する場合は、公開鍵を添付してください。

5. その他
  特にありません。

=============== ここまで ===============
※参考:届出様式
http://www.ipa.go.jp/security/vuln/report/form.txt



【執筆:神奈川大学 古川泰弘(Scan Advisory Boardメンバー)】

※Scan Advisory Board:
 Scan編集部では、記事の品質を維持、向上させることを目的として外部のセキュリティ専門家の方を論説委員として組織化しております。


(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  2. 「サイバーセキュリティ関連で最もクールな4つの職種」を発表(マカフィー)

    「サイバーセキュリティ関連で最もクールな4つの職種」を発表(マカフィー)

  3. 30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

    30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

  4. 世界の大規模漏えい事故から、日本企業の「社外」にある情報資産を可視化(イード)

  5. 顔認証システムの現状、顔写真を使った「なりすまし」も3Dデータ照合で防ぐ

  6. ルートゾーンKSKの情報更新など呼びかけ、期限は9月19日まで(総務省)

  7. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  8. ルートゾーンKSKロールオーバーのプロセス開始、DNSパケットサイズに注意(JPRS)

  9. アジア以外ではランサムウェアの検出数が前年の2倍に、脅威の進化も(チェック・ポイント)

  10. ディープラーニングを採用したイスラエルのエンドポイント保護製品を発売(アズジェント)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×