情報セキュリティ
最終更新日:2020年9月14日
独立行政法人情報処理推進機構
セキュリティセンター
このページには、ウェブアプリケーション(ウェブサイト)およびソフトウエア製品の脆弱性関連情報の届出に関して、発見者、およびウェブサイト運営者、製品開発者より受けた質問を掲載します。また、情報セキュリティ早期警戒パートナーシップガイドライン(以降、「ガイドライン」)で使われる用語を解説した[用語集]を掲載します。脆弱性関連情報の届出につきましては、「脆弱性関連情報の届出受付」をご参照ください。
脆弱性関連情報の届出に関する疑問点を解消し、本取組みに関する理解を深めていただければ幸いです。
Q2-13 |
---|
脆弱性の分類が不明な場合の判断基準は次の通りです。一般に配布されているソフトウエア製品の問題の場合は、ソフトウエア製品の脆弱性と判断してください。また、脆弱性が特定のウェブサイトで利用しているアプリケーションのみに存在する場合、もしくは、特定のウェブサイトで利用しているソフトウエア製品の利用方法や脆弱性が原因のため、ウェブサイト側で対応する必要がある場合は、ウェブアプリケーション(ウェブサイト)の脆弱性と判断してください。
→ガイドライン II 5 , 7 , III
上記の判断基準で不明な場合は、どちらかの分類で届出をしてください。その場合、IPAにて届出内容を確認後に分類を変更する可能性がありますので、ご了承ください。
脆弱性の内容によって、取扱いが異なります。まずは下記の脆弱性関連情報の届出に関する問合せ用メールアドレスまでご相談ください。
不具合を確認したが、それが脆弱性かどうか判断できない場合や、仕様通りの挙動だが問題がある場合は、セキュリティ上の脅威の有無をご確認ください。具体的なセキュリティ上の脅威が想定できれば脆弱性として取扱うことがありますので、届出をしてください。
また、常に再現するわけでない場合や再現条件が不明な場合でも、脆弱性として取扱うことがあります。
なお、脆弱性として取扱わない場合でも、参考情報として製品開発者やウェブサイト運営者に連絡することがあります。
届出をしていただいて構いません。ただし、製品開発者やウェブサイト運営者との調整を発見者自身が行うか、IPAへ依頼するかを届出に明記してください。なお、製品開発者やウェブサイト運営者との調整をIPAへ依頼する場合、製品開発者やウェブサイト運営者との連絡状況を届出に記載してください。また、発見者から製品開発者やウェブサイト運営者へ本制度に届出した旨、および、JPCERT/CCもしくはIPA から連絡があった際は、対応頂けるようにお伝えください。
届出により異なります。3ヶ月に1度、脆弱性関連情報に関する届出状況を公表しており、これまでの届出で製品開発者およびウェブサイト運営者が修正にかかった時間を公開していますので、下記をご参照ください。
ポータルサイト(JVN)での発見者名の掲載は、届出時に発見者が「掲載してもよい」を選択した場合のみ掲載します。掲載を希望しない場合は、届出の際に以下の項目で「記載して欲しくない」を選択してください。
1. 届出者情報
3) 対策情報公表時の謝辞への発見者名の記載について
なお、ポータルサイト(JVN)に公表した時にIPAより参考情報を掲載していますが、こちらにはポータルサイト(JVN)での掲載に関わらず、発見者の名前は掲載いたしません。
ウェブサイト運営者、および製品開発者が、届出られた内容の何が問題であるかを理解できるように、届出した内容が脆弱性であると判断した理由を明確に記載してください。さらに、脆弱性が再現した証拠(画面キャプチャやログファイル)を併せて届出頂ければ幸いです。
なお、届出内容に曖昧な点や不明な点がある場合は、IPAから発見者に確認を行うことがあります。ただし、ウェブアプリケーション(ウェブサイト)の届出の場合、必要以上に調査を行うことによって、ウェブサイト運営者とのトラブルが生じたり、不正アクセス禁止法等に抵触したりする可能性がありますので、ご注意ください。
脆弱性関連情報の届出について定めたガイドラインにて、発見者は「氏名、連絡先等」を明らかにすることが求められています。
→ガイドライン IV. 2. 5) , V. 2. 4)
IPAでは、発見者の情報を個人情報の取扱い方針に従い、適切に管理しています。発見者が希望しない場合は、発見者に関する情報が製品開発者やウェブサイト運営者に伝えられることはありませんので、安心して届出をしてください。
ソフトウエア製品の届出に関しては、氏名で届出いただいた上で、ポータルサイト(JVN)で公表する名前としてハンドルネームを使用することは可能です。ハンドルネームでの掲載を希望する場合は、謝辞に記載を希望するハンドルネームを届出(対策情報公表時の謝辞記載欄)に記載してください。
1. 届出者情報
3) 対策情報公表時の謝辞への届出者名の記載について
ウェブサイト運営者の連絡先が不明であれば、空欄のまま届出していただいて構いません。届出いただいた内容を基にIPAにて適切な連絡先を調査します。その場合、IPAで調査をするのに時間が掛かる場合がありますので、予めご了承ください。 製品開発者の連絡先(製品開発者のウェブページのURL)は調査をしていただき、出来るだけ記入をお願いします。調査した結果、不明であれば不明である旨を明記の上、調査可能な範囲の情報を届出してください。届出いただいた内容を基にJPCERT/CCにて製品開発者の連絡先を調査します。JPCERT/CCで調査をするのに時間が掛かる場合がありますので、予めご了承ください。
取扱い中のソフトウエア製品の届出に関する脆弱性関連情報は、IPAとJPCERT/CCが脆弱性情報を公表するまでの間は、第三者に開示しないでください。これをIPAから発見者に対する情報非開示依頼といいます。
脆弱性関連情報の開示に関しては、「Q1-12」も併せて確認してください。
→ ガイドライン IV. 2. 4)
取扱い中のウェブサイトの届出に関する脆弱性関連情報は、脆弱性が修正されるまでの間は第三者に開示しないでください。脆弱性関連情報の開示に関しては、「Q1-12」も併せて確認してください。これをIPAから発見者に対する情報非開示依頼といいます。
ガイドラインの「脆弱性関連情報の管理に際しての法的な問題」をご確認の上、脆弱性関連情報の開示の適否をご判断ください。
→ ガイドライン 付録3 1
起算日が不明な場合は、届出用のメールアドレスに、件名に取扱い番号を明記の上、お問い合わせください。IPAより起算日を回答します。2011年4月1日以前の届出は、一律で2011年4月1日が起算日となります。
届出用のメールアドレスに、取扱い番号を明記の上、お問い合わせください。IPAより取扱い状況を回答します。
届出用のメールアドレスに、取扱い番号を明記の上、届出の脆弱性が修正完了された旨、および、そのように判断された理由をご報告ください。
IPAでは脆弱性の修正をご連絡する際に、発見者が脆弱性の修正を確認する期間として10営業日の期間を設けています。脆弱性が修正されていないことが判明した場合、この期間の内に、修正されていないと判断した理由を具体的にご連絡ください。発見者より脆弱性が修正されていない旨の連絡があった場合、届出の取扱いを続けさせていただきます。
製品開発者との調整を行うJPCERT/CCが製品開発者へ連絡するにあたり、連絡手段が存在しない場合 や、定期的に連絡しているにもかかわらず一定期間にわたりまったく応答がない場合には、該当する製品開発者を「連絡不能開発者」と位置づけます。そして、当該製品開発者名を連絡不能開発者一覧で公表し、連絡を求めていることを製品開発者本人または製品開発者との連絡方法を知っている方に呼びかけます。
その際、当該届出の発見者に対し、連絡不能開発者一覧に製品開発者名を公表した旨を連絡します。
→ ガイドライン IV. 4. 2)
→ ガイドライン 付録5
ウェブサイトに掲載された宛先情報をもとに電子メール、電話、FAX等のいずれの手段でウェブサイト運営者に脆弱性関連情報に係わる問い合わせを試みても、一定期間にわたり的確な答えがない場合、IPAは、その脆弱性の影響範囲や取扱い期間を考慮して取扱いを終了することがあります。
→ ガイドライン V. 3. 5)
連絡不能開発者一覧に公表後も製品開発者と連絡が取れない場合は、JPCERT/CCの要請を受け、脆弱性情報を公表するかどうかを公表判定委員会で判定します。
具体的には、公表判定委員会が脆弱性検証結果や当該製品開発者をはじめとする関係者の意見に基づき、脆弱性情報を公表することが適当であるか否かの判定を行います。
公表判定委員会により公表することが適当であると判定された場合、ポータルサイト(JVN)で製品開発者名と当該脆弱性情報等を公表します。公表することが適当ではないと判定された場合は公表しません。
→ ガイドライン IV. 3. (2)
調整不能案件は脆弱性情報の公表に係る製品開発者との合意形成が為されていないことから、発見者へ不利益を及ぼす可能性を鑑み、謝辞の掲載は控えさせて頂きます。
IPAからウェブサイト運営者に送るメールにはPGP署名をつけており、これがメール本文の前後に記載されます。PGP署名を下記のページにて公開しているIPAの公開鍵で検証することで、IPAからの正式なメールであることを確認することが出来ます。PGP公開鍵の環境がない場合、脆弱性届出受付窓口03-5978-7537へご連絡頂き、取扱い番号による照会を行うことが出来ます。
現在、在宅勤務のため、下記までメールでお問合せ下さい。
ウェブサイトのサーバやコンテンツの管理などを外部の業者に委託している場合でもIPAとの連絡窓口はウェブサイトに責任を持つ企業・組織の方がウェブサイト運営者として担当してください。これは、当該ウェブサイトにおける脆弱性の確認・修正に責任を持つのは ウェブサイト運営者と考えているためです。
例えば、https://www.ipa.go.jp/のウェブサイト運営者はIPAとなります。
届出の問題がASPサービスの問題であることが判明した場合は、その旨をIPAにご連絡ください。ASPサービスの問題の場合は、当該サービスを利用する他のウェブサイトも影響を受ける可能性があるため、IPAよりASPサービス事業者に連絡し、対応を依頼します。
IPAとの連絡において、電話やFAXを利用することは可能です。なお、電話やFAXを利用した場合も、間違いや誤解が生じないように、メールで確認をさせていただいています。
届出られた内容はセキュリティ上の問題ですので、第三者への漏えいによる悪用を防ぐため、PGP公開鍵によるメールの暗号化を推奨しています。
ウェブサイト運営者がPGP公開鍵による暗号化に対応できる場合は、ウェブサイト運営者のPGP公開鍵を利用して、届出情報の暗号化を行います。また、PGPを利用できない場合でも、パスワードによる暗号化を施したファイルを利用する等、他の方法で届出情報をご連絡します。
IPAで利用するPGP公開鍵については、下記のページを参照してください。
まずは、届出られた脆弱性が存在するかどうかを確認してください。脆弱性を確認する方法が不明な場合はIPAにご相談ください。
これは、IPAでは届出られた脆弱性が実際に存在するかを確認しておりませんので、ウェブサイト運営者自身で脆弱性の有無を確認していただく必要があります。IPAでは、記載されている内容の妥当性を判断し、脆弱性が存在する可能性があると判断した段階で届出を受理し、ウェブサイト運営者に連絡しています。
脆弱性が存在することを確認できた場合は、IPAにご連絡ください。その後、脆弱性への対応を行い、対応が完了したらIPAに修正完了報告書を返送してください。
また、脆弱性が存在しないことが確認できた場合は、脆弱性が存在しないと判断した理由をIPAにご連絡ください。IPAにてご連絡いただいた内容を確認した上で、発見者に脆弱性が存在しない旨を連絡します。
→ ガイドライン V. 4
なお、届出情報を連絡する際に、ウェブサイト運営者が取るべき対応について記載したPDFファイルを渡していますので、そちらも参照してください。
届出られた脆弱性を修正するかどうかは、ウェブサイト運営者の責任においてご判断ください。
脆弱性が原因で利用者に個人情報漏えい等の被害が生じる場合には、脆弱性の修正を早急に行うべきであると考えます。
一方、脆弱性を修正しないという判断が妥当となり得る場合としては、脆弱性による被害がウェブサイト運営者のみに及ぶ場合が考えられます。
ウェブサイト運営者がIPAから届出の報告を受けたり、脆弱性への質問、相談を行ったりする際に、ウェブサイト運営者とIPAとの間で金銭の支払いが発生することはありません。
IPAではウェブサイト運営者、およびウェブアプリケーションの開発者向けに下記の資料を公開しています。脆弱性の対策をする際に参考してください。
また、上記の資料で言及されていない脆弱性や、どのような対策を取ればよいのか分からない場合は、対策についての不明な点などをIPAにご相談ください。
必ずしも、脆弱性による実際の被害が生じたということではありません。届出は脆弱性に関する情報のため、実際の被害については記載されていない場合が多く、IPAでは被害の状況を把握しておりません。
ただし、実際に被害を受けたことにより、脆弱性を発見して届出をする発見者もいます。その場合は、脆弱性による被害があった旨を脆弱性情報と共にウェブサイト運営者に連絡しています。
発見者は当該ウェブサイトの利用者やセキュリティに関心がある方、研究者の方などとなります。
発見者が届出の際に、発見者に関する情報をウェブサイト運営者に連絡しても良いと指定されている場合は発見者の情報をウェブサイト運営者に連絡可能です。それ以外の場合は、脆弱性に関する情報のみをご連絡します。
→ ガイドライン V.3.9)
当該ウェブアプリケーションの脆弱性関連情報に関して、サイト名・URL・ウェブサイト運営者名が判別可能な形式で公表することはありません。統計情報としてのみ公表します。
→ ガイドライン V.3.11)
脆弱性を公表する必要があるかどうかについては、ウェブサイト運営者の判断に委ねています。
ただし、個人情報の漏えいが発生した場合は、ウェブサイト上でその旨を公表してください。
これは、個人情報の悪用による二次被害を防ぐため、また当該個人が問題を把握することができるようにするため、お願いしているものです。公表する項目についてはガイドラインを参照してください。
→ ガイドライン V.4.5)
連絡不能開発者一覧に公表後も継続して製品開発者と連絡が取れない連絡不能案件または、製品開発者とJVN公表に係る調整を行ったが合意に至ることが困難となった調整不能案件が対象となります。
→ ガイドライン IV. 3. (2) 1)
問い合わせる事は可能です。連絡したメール本文に記載されている公表判定委員会事務局の電話番号もしくはメールアドレスへお問い合わせください。
ポータルサイト(JVN)で公表した脆弱性情報の削除は行いません。ただし、製品開発者から、当該ソフトウエア製品の利用停止を含む対策方法(パッチ、ワークアラウンド等)を連絡頂いた場合は、製品開発者と連絡がとれた旨を追記すると共に、ポータルサイト(JVN)の対策情報を更新します。
メールの件名に取扱い番号を明記し、その旨を公表判定委員会事務局のメールアドレスにご連絡ください。
公表判定委員会の開催前に、製品開発者に適切な連絡手段が存在する場合、その連絡先へ公表判定委員会事務局が製品開発者の見解を確認致しますので、指定された方法で期日までにご回答ください。
情報セキュリティ早期警戒パートナーシップで使われる用語について解説します。
情報非開示依頼 |
発見者へ、IPAおよびJPCERT/CCがソフトウエア製品の脆弱性情報を公表するまでの間は、脆弱性関連情報が第三者に漏れないように適切な管理を依頼することを「情報非開示依頼」とします。 |
---|---|
起算日 |
ガイドラインIV. 4. 2) において「製品開発者への連絡」として規定された連絡を最初に試みた日を起算日とします。 |
連絡不能開発者 |
電子メールや郵便、電話、FAX等いずれの手段で製品開発者に連絡を試みても一定期間にわたりまったく応答がない場合には、連絡が取れないと判断します。その場合、当該製品開発者を「連絡不能開発者」と位置づけます。 |
連絡不能案件 |
ガイドラインIV. 4. 2) に示した連絡方法すべて試みても製品開発者と6カ月以上連絡が取れない場合、当該案件は連絡不能と判断します。 |
調整不能案件 |
連絡不能案件、および、JVN公表に係る調整を行ったが合意にいたることが社会通念上困難になったとIPAが判断した案件は、調整不能案件と判断します。 |
公表判定委員会 |
調整不能案件について、公表する条件を満たしていることを判定する組織です。詳しくは「公表判定委員会とは」を参照ください。 |
2015年8月11日
全面改訂
2017年5月30日
全面改訂
2019年5月30日
記載内容の一部修正
2020年9月14日
記載内容の一部修正