ソフトウェア製品脆弱性関連情報に関する届出を体験して・・・JVN#E7DDE712を通して | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.24(日)

ソフトウェア製品脆弱性関連情報に関する届出を体験して・・・JVN#E7DDE712を通して

特集 特集

●はじめに

 先日、Scan Security Wire Vol.295(2004/10/14)において、「東芝製DVDレコーダRD-XS53のiEPG機能の危険性について」を執筆させていただいたが、その中で事情により割愛させていただいた部分があった。
 実はこの中にソフトウェア製品脆弱性関連情報に届け出た情報が含まれており、先日JVNに対応情報が公開されたことやIPAから脆弱性届出情報の2004年第3四半期の報告において、情報家電に関する話題にも触れられていたことは記憶に新しいことと思われる。
 今回執筆する内容は実際に公開されるまでの一連の流れについて執筆している。脆弱性を見つけた際に脆弱性関連情報に届け出るかどうか迷った場合には届け出てほしいと願っている。


●今回の届出に対するIPAと東芝の対応

 今回脆弱性関連情報に届け出た後から公開されるまでの対応内容は私の知る限りで以下のとおりである。

IPA/ISEC:

2004/ 9/22 9:34:22 vuln-info@ipa.go.jpへ投稿
(同日)  15:30ごろ IPA#E7DDE712で届出受理のご連絡をいただく
2004/ 9/30 0:13:36 届出情報に関する変更を申請
(同日)  11:45ごろ 変更届受理のご連絡をいただく
2004/10/15 10:00:00 IPA#E7DDE712の情報を公開
(同日) 15:45ごろ IPA#E7DDE712の情報公開に関するご連絡をいただく
(同日) 20:00:00 この報告を含め過去にJVNで公開されたものすべてについて「発見者」の項目を「報告者」へ修正

東芝:

2004/10/ 4 重要なお知らせ:セキュリティ設定のお願いの公開2004/10/ 5 重要なお知らせの更新(該当機種の追加)

 東芝の対応はすべてホームページを見て確認しただけである。脆弱性関連情報の取り扱いプロセスに則って取り扱われるため、脆弱性情報を届け出てから公開されるまで報告者はただ待つのみとなる。


●脆弱性関連情報に届け出た背景

 筆者は仕事の関係で脆弱性関連情報に関する届出については以前から知っていたし、一方DVDレコーダーのiEPG機能は脆弱性になり得るのではないかということもわかっていた。しかし、この事実を東芝のサポートセンター(※)や脆弱性関連情報に関する届出をしようとした時点で、以下のことが頭に浮かび上がり躊躇したことを今でもはっきりと覚えている。
(※正確には「RDシリーズサポートダイヤル」である)

 ・対象製品がソフトウェアではないこと
   ネーミングの問題だと思われるが、DVDレコーダーはソフトウェア製品とは一見見分けがつかないため対象外と決め付けようとしていた。
   「ソフトウェア製品」という言葉は確かに定義されているが、一般的にルータやファイアウォールなどネットワーク機器を想定していたため情報家電も本当にソフトウェアに入るのだろうか?という疑問が湧いた。


【執筆】
 伊藤公樹(ときん)
 E-mail : tokin@hauN.club.ne.jp
 URL : http://tokin.hauN.org/


(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec


《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  2. Heart of Darknet - インターネット闇の奥 第2回「五十兆円『市場』」

    Heart of Darknet - インターネット闇の奥 第2回「五十兆円『市場』」

  3. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

    工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  6. ISMS認証とは何か■第1回■

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第2回 「二重帳簿」

  8. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×