脆弱性の報告や開示を円滑に～4月公開の「RFC 9116」解説

　一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は8月9日、2022年4月に正式公開された「RFC 9116：A File Format to Aid in Security Vulnerability Disclosure」について、ブログで紹介している。

　JPCERT/CCで行っている脆弱性調整では、正しい調整先にたどり着かない場合、報告のあった脆弱性関連情報に対し適切な対策が実施されず、製品ユーザーがゼロディ攻撃の脅威にさらされるリスクが残り、製品開発者は自身の製品がサイバー攻撃に悪用されることで、製品に対する信頼が損なわれる可能性もある。

　JPCERT/CCでは、製品開発者とのファーストコンタクトで安全かつ確実に情報を確認できるように、開発者や製品のWebサイト上で連絡先を探しているが、すべての製品開発者が脆弱性を受け取る準備ができているわけではなく、組織内で対応部門を探すうちに何か月も経過し、最終的に応答がなくなる場合もあるという。

　「RFC 9116：A File Format to Aid in Security Vulnerability Disclosure」は、脆弱性調整を行う機関や脆弱性発見者が開発者との連携をしやすくすることを目的に、開発者組織が実施可能な対策の一つとして、組織が脆弱性の開示方法を説明し、セキュリティ研究者などが発見した脆弱性を報告しやすくするために定義されたもので、2022年4月に正式公開された。

　この仕組みでは、必要な情報を記載した「security.txt」ファイルをWebサイトの「/.well-known/」パスの下に公開することを要求している。「security.txt」には次の項目が記述される。「コンタクト」と「有効期限」だけが必須入力項目となっている。

・コンタクト：電子メールアドレス、電話番号、連絡用フォームのアドレスなどの連絡先や方法
・有効期限：この「security.txt」の有効期限
・謝辞：セキュリティレポーターへの謝辞記載場所等
・カノニカル：この「security.txt」の正式配置場所（URI））
・暗号化鍵：脆弱性報告時に使用できるOpenPGP公開鍵などの掲載場所等
・採用情報：当該ベンダーのセキュリティ関連の人材募集内容の記載場所等
・ポリシー：当該ベンダーのセキュリティポリシーの記載場所等
・優先言語：受け付けるセキュリティレポートの言語