HOME情報セキュリティサポート情報FAQ(よくある質問)脆弱性関連情報の届出関連 FAQ

本文を印刷する

情報セキュリティ

脆弱性関連情報の届出関連 FAQ

最終更新日:2015年8月11日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

 このページには、ウェブアプリケーション(ウェブサイト)およびソフトウエア製品の脆弱性関連情報の届出に関して、発見者、およびウェブサイト運営者、製品開発者より受けた質問を掲載します。また、情報セキュリティ早期警戒パートナーシップガイドライン(以降、「ガイドライン」)で使われる用語を解説した[用語集]を掲載します。脆弱性関連情報の届出につきましては、「脆弱性関連情報の届出受付」をご参照ください。

脆弱性関連情報の届出に関する疑問点を解消し、本取組みに関する理解を深めていただければ幸いです。

1.発見者からの質問

届出の際に気になる点について

Q1-1 ソフトウエア製品の脆弱性かウェブアプリケーション(ウェブサイト)の脆弱性か判断できませんが、届出をしてもいいですか?
Q1-2 特定のソフトウエア製品の脆弱性でも特定のウェブサイトの脆弱性でもない場合はどうしたらいいでしょうか?
Q1-3 脆弱性かどうか分かりませんが、届出をしてもいいですか?
Q1-4 製品開発者やウェブサイト運営者に連絡済みでも、届出をしてもいいですか?
Q1-5 届出をしてから修正まで、どの程度の時間がかかりますか?
Q1-6 ポータルサイト(JVN)で名前を公開したくない場合はどうすればいいですか?

届出の際の記述の仕方について

Q1-7 届出をする際にはどの程度、具体的に記載すればいいですか?
Q1-8 匿名もしくはハンドルネームで届出をしてもいいですか?
Q1-9 ウェブサイト運営者の連絡先がわからないまま届出をしてもいいですか?

届出した脆弱性関連情報の開示について

Q1-10 届出をしたソフトウエア製品の脆弱性関連情報を自分でインターネット等に開示してもいいですか?
Q1-11 届出をしたウェブサイトの脆弱性関連情報を自分でインターネット等に開示してもいいですか?
Q1-12 脆弱性関連情報を自分でインターネット等に開示する際、事前に確認すべき事はありますか?
Q1-13 届出をしたソフトウエア製品の脆弱性関連情報について、情報非開示依頼を取下げることはできますか?
Q1-14 起算日が不明な場合はどうすれば良いですか?

届出をした後の確認について

Q1-15 届出をした後、IPAからの連絡がありません。対応状況を教えてもらえますか?
Q1-16 IPAから修正完了の連絡がきていませんが、届出をした脆弱性に関して確認してみたら修正されていた場合はどうすればいいでしょうか?
Q1-17 IPAより届出をした脆弱性が修正されたと連絡が来ましたが、確認してみたら、修正されていませんでした。このような場合はどうすればいいでしょうか?

届出の製品開発者、もしくは、ウェブサイト運営者と連絡が取れない場合について

Q1-18 ソフトウエア製品の届出について、調整機関(JPCERT/CC)が製品開発者と連絡を取れない場合はどうなるのですか?
Q1-19 ウェブサイトの届出について、IPAがウェブサイト運営者と連絡を取れない場合はどうなるのですか?
Q1-20 連絡不能開発者一覧に公表後も製品開発者と連絡が取れない場合はどうなるのですか?
Q1-21 公表判定委員会による審議の後、どのように取扱いされるのですか?
Q1-22 ポータルサイト(JVN)で公表された連絡不能案件について、謝辞の掲載をお願いすることができますか?
ページトップへ

2.ウェブサイト運営者からの質問

3.製品開発者からの質問

1.発見者からの質問

届出の際に気になる点について

Q1-1 ソフトウエア製品の脆弱性かウェブアプリケーション(ウェブサイト)の脆弱性か判断できませんが、届出をしてもいいですか?
A1-1脆弱性の分類が不明な場合の判断基準は次の通りです。一般に配布されているソフトウエア製品の問題の場合は、ソフトウエア製品の脆弱性と判断してください。また、脆弱性が特定のウェブサイトで利用しているアプリケーションのみに存在する場合、もしくは、特定のウェブサイトで利用しているソフトウエア製品の利用方法や脆弱性が原因のため、ウェブサイト側で対応する必要がある場合は、ウェブアプリケーション(ウェブサイト)の脆弱性と判断してください。
→ガイドライン II 5 , 7 , III
上記の判断基準で不明な場合は、どちらかの分類で届出をしてください。その場合、IPAにて届出内容を確認後に分類を変更する可能性がありますので、ご了承ください。
Q1-2特定のソフトウエア製品の脆弱性でも特定のウェブサイトの脆弱性でもない場合はどうしたらいいでしょうか?
A1-2脆弱性の内容によって、取扱いが異なります。まずは脆弱性関連情報の届出に関する問合せ用メールアドレス(vuln-inq@アイピーエー.go.jp)までご相談ください。
Q1-3 脆弱性かどうか分かりませんが、届出をしてもいいですか?
A1-3不具合を確認したが、それが脆弱性かどうか判断できない場合や、仕様通りの挙動だが問題がある場合は、セキュリティ上の脅威の有無をご確認ください。具体的なセキュリティ上の脅威が想定できれば脆弱性として取扱うことがありますので、届出をしてください。
また、常に再現するわけでない場合や再現条件が不明な場合でも、届出をいただければ、IPAにて再現性を確認し、脆弱性として取扱うことがあります。
なお、脆弱性として取扱わない場合でも、参考情報として製品開発者やウェブサイト運営者に連絡することがあります。
Q1-4 製品開発者やウェブサイト運営者に連絡済みでも、届出をしてもいいですか?
A1-4届出をしていただいて構いません。なお、届出の際に、製品開発者やウェブサイト運営者との連絡状況を記載してください。また、発見者様から製品開発者やウェブサイト運営者へ本制度に届出した旨、および、JPCERT/CCもしくはIPA から連絡があった際は、対応頂けるようにお伝えください。
Q1-5届出をしてから修正まで、どの程度の時間がかかりますか?
A1-5届出により異なります。3ヶ月に1度、脆弱性関連情報に関する届出状況を公表しており、これまでの届出で製品開発者およびウェブサイト運営者が修正にかかった時間を公開していますので、こちらをご参照ください。
脆弱性関連情報に関する届出状況
Q1-6 ポータルサイト(JVN)で名前を公開したくない場合はどうすればいいですか?
A1-6ポータルサイト(JVN)での発見者名の掲載は、届出時に発見者が「掲載してもよい」を選択した場合のみ掲載します。掲載を希望しない場合は、届出の際に以下の項目で「記載して欲しくない」を選択してください。
ソフトウエア製品脆弱性関連情報届出様式
1. 届出者情報
3) 対策情報公表時の謝辞への発見者名の記載について
なお、ポータルサイト(JVN)に公表した時にIPAより参考情報を掲載していますが、こちらにはポータルサイト(JVN)での掲載に関わらず、発見者の名前は掲載いたしません。
ページトップへ

届出の際の記述の仕方について

Q1-7届出をする際にはどの程度、具体的に記載すればいいですか?
A1-7ウェブサイト運営者、および製品開発者が、届出られた内容の何が問題であるかを理解できるように、届出た内容が脆弱性であると判断した理由を明確に記載してください。
また、届出内容に曖昧な点や不明な点がある場合は、IPAから発見者に確認を行うことがあります。
なお、ウェブアプリケーション(ウェブサイト)の届出の場合、必要以上に調査を行うことによって、ウェブサイト運営者とのトラブルが生じたり、不正アクセス禁止法等に抵触したりする可能性がありますので、ご注意ください。
Q1-8匿名で届出をしてはいけませんか?もしくはハンドルネームで届出をしてもいいですか?
A1-8脆弱性関連情報の届出について定めたガイドラインにて、発見者は「氏名、連絡先等」を明らかにすることが求められています。
→ガイドライン IV. 2. 5) , V. 2. 4)
IPAでは、発見者の情報を個人情報の取扱い方針に従い、適切に管理しています。発見者が希望しない場合は、発見者に関する情報が製品開発者やウェブサイト運営者に伝えられることはありませんので、安心して届出をしてください。
ソフトウェア製品の届出に関しては、本名で届出いただいた上で、ポータルサイト(JVN)で公表する名前としてハンドルネームを使用することは可能です。ハンドルネームでの掲載を希望する場合は、謝辞に記載を希望するハンドルネームを届出に記載してください。
ソフトウエア製品脆弱性関連情報届出様式
1. 届出者情報
3) 対策情報公表時の謝辞への届出者名の記載について
Q1-9 ウェブサイト運営者の連絡先がわからないまま届出をしてもいいですか?
A1-9ウェブサイト運営者の連絡先が不明であれば、空欄のまま届出していただいて構いません。届出いただいた内容を基にIPAにて適切な連絡先を調査します。
ページトップへ

届出した脆弱性関連情報の開示について

Q1-10届出をしたソフトウエア製品の脆弱性関連情報を自分でインターネット等に開示してもいいですか?
A1-10取扱い中のソフトウエア製品の届出に関する脆弱性関連情報は、IPAとJPCERT/CCが脆弱性情報を公表するまでの間は、第三者に漏れないように適切に管理してください。これをIPAから発見者に対する情報非開示依頼といいます。脆弱性関連情報の開示に関しては、「Q1-12」も併せて確認してください。
→ ガイドライン IV. 2. 4)
Q1-11届出をしたウェブサイトの脆弱性関連情報を自分でインターネット等に開示してもいいですか?
A1-11取扱い中のウェブサイトの届出に関する脆弱性関連情報は、脆弱性が修正されるまでの間は第三者に漏れないように適切に管理してください。脆弱性関連情報の開示に関しては、「Q1-12」も併せて確認してください。これをIPAから発見者に対する情報非開示依頼といいます。
→ ガイドライン V. 2. 3)
Q1-12脆弱性関連情報を自分でインターネット等に開示する際、事前に確認すべき事はありますか?
A1-12ガイドラインの「脆弱性関連情報の管理に際しての法的な問題」をご確認の上、脆弱性関連情報の開示の適否をご判断ください。
→ ガイドライン 付録3 2
Q1-13届出をしたソフトウエア製品の脆弱性関連情報について、情報非開示依頼を取下げることはできますか?
A1-13起算日から1年間以上経過した取扱い中のソフトウエア製品の届出について、発見者はIPAに対し、情報非開示依頼の取下げを求める事ができます。起算日は、製品開発者に最初に連絡を試みた日として、IPAより発見者に通知します。
→ ガイドライン IV. 2. 4)
Q1-14起算日が不明な場合はどうすれば良いですか?
A1-14起算日が不明な場合は、問合せ用メールアドレス(vuln-inq@アイピーエー.go.jp)に、件名に取扱い番号を明記の上、お問い合わせください。IPAより起算日を回答します。2011年4月1日以前の届出は、一律で2011年4月1日が起算日となります。
ページトップへ

届出をした後の確認について

Q1-15届出をした後、IPAからの連絡がありません。対応状況を教えてもらえますか?
A1-15届出用のメールアドレス(vuln-info@アイピーエー.go.jp)に、取扱い番号を明記の上、お問い合わせください。IPAより取扱い状況を回答します。
Q1-16 IPA から修正完了の連絡がきていませんが、届出をした脆弱性に関して確認してみたら修正されていた場合はどうすればいいでしょうか?
A1-16届出用のメールアドレス(vuln-info@アイピーエー.go.jp)に、取扱い番号を明記の上、届出の脆弱性が修正完了された旨、および、そのように判断された理由をご報告ください。
Q1-17IPAより届出をした脆弱性が修正されたと連絡が来ましたが、確認してみたら、修正されていませんでした。このような場合はどうすればいいでしょうか?
A1-17IPAでは脆弱性の修正をご連絡する際に、発見者が脆弱性の修正を確認する期間として10営業日の期間を設けています。脆弱性が修正されていないことが判明した場合、この期間の内に、修正されていないと判断した理由を具体的にご連絡ください。発見者より脆弱性が修正されていない旨の連絡があった場合、届出の取扱いを続けさせていただきます。
ページトップへ

届出の製品開発者、もしくは、ウェブサイト運営者と連絡が取れない場合について

Q1-18 ソフトウエア製品の届出について、調整機関(JPCERT/CC)が製品開発者と連絡を取れない場合はどうなるのですか?
A1-18製品開発者との調整を行うJPCERT/CCが製品開発者へ連絡するにあたり、連絡手段が存在しない場合 や、定期的に連絡しているにもかかわらず一定期間にわたりまったく応答がない場合には、「連絡不能開発者」と位置づけます。そして、当該製品開発者名を連絡不能開発者一覧で公表し、連絡を求めていることを製品開発者本人または製品開発者との連絡方法を知っている方に呼びかけます。
その際、当該届出の発見者に対し、連絡不能開発者一覧に開発者名を公表した旨を連絡します。
連絡不能開発者一覧 (開発者情報 公開調査)
→ ガイドライン IV. 4. 2)
→ ガイドライン 付録4
Q1-19ウェブサイトの届出について、IPAがウェブサイト運営者と連絡を取れない場合はどうなるのですか?
A1-19 ウェブサイトに掲載された宛先情報をもとに電子メールや郵便、電話、FAX等のいずれの手段でウェブサイト運営者に脆弱性関連情報に係わる問い合わせを試みても、一定期間にわたり的確な答えがない場合、IPAは、その脆弱性の影響範囲や取扱い期間を考慮して取扱いを終了することがあります。
→ ガイドライン V. 3. 5)
Q1-20連絡不能開発者一覧に公表後も製品開発者と連絡が取れない場合はどうなるのですか?
A1-20 連絡不能開発者一覧に公表後も製品開発者と連絡が取れない場合は、JPCERT/CCの要請を受け、脆弱性情報を公表するかどうかを公表判定委員会で審議します。
→ ガイドライン IV. 3. (1)

脆弱性情報を公表するための手続きを実施します。具体的には、公表判定委員会が脆弱性検証結果や当該製品開発者をはじめとする関係者の意見に基づき、脆弱性情報を公表することが適当であるか否かの判定を行います。
→ ガイドライン IV. 3. (2)
Q1-21公表判定委員会による審議の後、どのように取扱いされるのですか?
A1-21 公表判定委員会により公表することが適当であると判定された場合、ポータルサイト(JVN)で製品開発者名と当該脆弱性情報等を公表します。公表することが適当ではないと判定された場合は公表しません。
→ ガイドライン IV. 3. 14)
Q1-22 ポータルサイト(JVN)で公表された連絡不能案件について、謝辞の掲載をお願いすることができますか?
A1-22 連絡不能案件は脆弱性情報の公表に係る製品開発者との合意形成が為されていないことから、発見者へ不利益を及ぼす可能性を鑑み、謝辞の掲載は控えさせて頂きます。
ページトップへ

2.ウェブサイト運営者からの質問

IPAとウェブサイト運営者の連絡方法について

Q2-1IPAからのメールだということを確認する方法はありますか?
A2-1IPAからウェブサイト運営者に送るメールにはPGP署名をつけており、これがメール本文の前後に記載されます。PGP署名を下記のページにて公開しているIPAの公開鍵で検証することで、IPAからの正式なメールであることを確認することが出来ます。PGP公開鍵の環境がない場合、脆弱性届出受付窓口03-5978-7537へご連絡頂き、取扱い番号による照会を行なうことが出来ます。
IPA/ISEC の PGP 公開鍵について
Q2-2ウェブサイトの管理を外部に委託していますが、どうすればいいでしょうか?
A2-2 ウェブサイトのサーバやコンテンツの管理などを外部の業者に委託している場合でもIPAとの連絡窓口はウェブサイトに責任を持つ企業・組織の方がウェブサイト運営者として担当してください。これは、当該ウェブサイトにおける脆弱性の確認・修正に責任を持つのは ウェブサイト運営者と考えているためです。
例えば、https://www.ipa.go.jp/のウェブサイト運営者はIPAとなります。
Q2-3 利用しているASPサービスに問題がある場合は、どうすればいいでしょうか?
A2-3届出の問題がASPサービスの問題であることが判明した場合は、その旨をIPAにご連絡ください。ASPサービスの問題の場合は、当該サービスを利用する他のウェブサイトも影響を受ける可能性があるため、IPAよりASPサービス事業者に連絡し、対応を依頼します。
Q2-4IPAからメールによる連絡が来ましたが、連絡する際に電話連絡やFAXによる連絡も可能ですか?
A2-4IPAとの連絡において、電話やFAXを利用することは可能です。なお、電話やFAXを利用した場合も、間違いや誤解が生じないように、メールで確認をさせていただいています。
Q2-5暗号化を確認するメールが来たのですが、どういうことでしょうか?
A2-5届出られた内容はセキュリティ上の問題ですので、第三者への漏洩による悪用を防ぐため、PGP公開鍵によるメールの暗号化を推奨しています。
ウェブサイト運営者がPGP公開鍵による暗号化に対応できる場合は、ウェブサイト運営者のPGP公開鍵を利用して、届出情報の暗号化を行います。また、PGPを利用できない場合でも、パスワードによる暗号化を施したファイルを利用する等、他の方法で届出情報をご連絡します。
IPAで利用するPGP公開鍵については、下記のページを参照してください。
IPA/ISEC の PGP 公開鍵について
ページトップへ

ウェブサイト運営者の対応について

Q2-6 届出情報を受け取ったら、ウェブサイト運営者は何をすればいいですか?
A2-6まずは、届出られた脆弱性が存在するかどうかを確認してください。脆弱性を確認する方法が不明な場合はIPAにご相談ください。
これは、IPAでは届出られた脆弱性が実際に存在するかを確認しておりませんので、ウェブサイト運営者自身で脆弱性の有無を確認していただく必要があります。IPAでは、記載されている内容の妥当性を判断し、脆弱性が存在する可能性があると判断した段階で届出を受理し、ウェブサイト運営者に連絡しています。
脆弱性が存在することを確認できた場合は、脆弱性への対応を行い、対応が完了したらIPAにご連絡ください。
また、脆弱性が存在しないことが確認できた場合は、脆弱性が存在しないと判断した理由をIPAにご連絡ください。IPAにてご連絡いただいた内容を確認した上で、発見者に脆弱性が存在しない旨を連絡します。
→ ガイドライン V. 4
なお、届出情報を連絡する際に、ウェブサイト運営者が取るべき対応について記載したPDFファイルを渡していますので、そちらも参照してください。
Q2-7届出られた脆弱性を必ず修正しなければならないのでしょうか?
A2-7届出られた脆弱性を修正するかどうかは、ウェブサイト運営者の責任においてご判断ください。
脆弱性が原因で利用者に個人情報漏洩等の被害が生じる場合には、脆弱性の修正を早急に行うべきであると考えます。
一方、脆弱性を修正しないという判断が妥当となり得る場合としては、脆弱性による被害がウェブサイト運営者のみに及ぶ場合が考えられます。
→ ガイドライン III
Q2-8IPAとのやり取りで金銭の支払いは発生しますか?
A2-8ウェブサイト運営者がIPAから届出の報告を受けたり、脆弱性への質問、相談を行ったりする際に、ウェブサイト運営者とIPAとの間で金銭の支払いが発生することはありません。
Q2-9届出の脆弱性に関する対策方法を教えてもらえますか?
A2-9IPAではウェブサイト運営者、およびウェブアプリケーションの開発者向けに下記の資料を公開しています。脆弱性の対策をする際に参考してください。
IPA セキュリティセンター 「安全なウェブサイトの作り方」
また、上記の資料で言及されていない脆弱性や、どのような対策を取ればよいのか分からない場合は、対策についての不明な点などをIPAにご相談ください。
ページトップへ

届出に関連する情報について

Q2-10 脆弱性について連絡が来ましたが、実際に被害が生じたということですか?
A2-10必ずしも、脆弱性による実際の被害が生じたということではありません。届出は脆弱性に関する情報のため、実際の被害については記載されていない場合が多く、IPAでは被害の状況を把握しておりません。
ただし、実際に被害を受けたことにより、脆弱性を発見して届出をする発見者もいます。その場合は、脆弱性による被害があった旨を脆弱性情報と共にウェブサイト運営者に連絡しています。
Q2-11発見者がどういう人か教えてもらえますか?
A2-11発見者は当該ウェブサイトの利用者やセキュリティに関心がある方、研究者の方などとなります。
発見者が届出の際に、発見者に関する情報をウェブサイト運営者に連絡しても良いと指定されている場合は発見者の情報をウェブサイト運営者に連絡可能です。それ以外の場合は、脆弱性に関する情報のみをご連絡します。
→ ガイドライン V.2.4)
Q2-12IPA は届出られたウェブサイト名や脆弱性関連情報に関して、公表するのでしょうか?
A2-12当該ウェブアプリケーションの脆弱性関連情報に関して、サイト名・URL・ウェブサイト運営者名が判別可能な形式で公表することはありません。統計情報としてのみ公表します。
→ ガイドライン V.2.4)
ページトップへ

脆弱性を修正した後の対応について

Q2-13 脆弱性があったことを公表する必要はありますか?
A2-13脆弱性を公表する必要があるかどうかについては、ウェブサイト運営者の判断に委ねています。
ただし、個人情報の漏洩が発生した場合は、ウェブサイト上でその旨を公表してください。
これは、個人情報の悪用による二次被害を防ぐため、また当該個人が問題を把握することができるようにするため、お願いしているものです。公表する項目についてはガイドラインを参照してください。
→ ガイドライン V.4.5)
ページトップへ

3.製品開発者からの質問

連絡不能案件の取扱いについて

Q3-1公表判定委員会の審議対象はどのようものですか?
A3-1連絡不能開発者一覧に公表後も継続して製品開発者と連絡が取れない連絡不能案件が対象となります。
→ ガイドライン IV. 3. (2) 2)
Q3-2公表判定委員会事務局より連絡がきましたが、内容に関して電話などで問い合わせる事はできますか?
A3-2 問い合わせる事は可能です。連絡したメール本文に記載されている公表判定委員会事務局の電話番号もしくはメールアドレスへお問い合わせください。
Q3-3 連絡不能案件としてポータルサイト(JVN)に公表された脆弱性情報について、削除してもらえますか?
A3-3ポータルサイト(JVN)で公表した脆弱性情報の削除は行いません。ただし、製品開発者から、当該ソフトウエア製品の利用停止を含む対策方法(パッチ、ワークアラウンド等)を連絡頂いた場合は、製品開発者と連絡がとれた旨を追記すると共に、ポータルサイト(JVN)の対策情報を更新します。
Q3-4連絡不能案件としてポータルサイト(JVN)に公表された脆弱性情報について、対策情報を更新してもらえますか?
A3-4メールの件名に取扱い番号を明記し、その旨を公表判定委員会事務局のメールアドレスにご連絡ください。
Q3-5連絡不能案件としてポータルサイト(JVN)に公表された脆弱性情報について、製品開発者の見解を併記してもらえますか?
A3-5公表判定委員会の開催前に、製品開発者に適切な連絡手段が存在する場合、その連絡先へ公表判定委員会事務局が製品開発者の見解を確認致しますので、指定された方法で期日までにご回答ください。
ページトップへ

用語集

情報セキュリティ早期警戒パートナーシップで使われる用語について解説します。

情報非開示依頼 発見者へ、IPAおよびJPCERT/CCがソフトウエア製品の脆弱性情報を公表するまでの間は、脆弱性関連情報が第三者に漏れないように適切な管理を依頼することを「情報非開示依頼」とします。
起算日 ガイドラインIV. 4. 2) において「製品開発者への連絡」として規定された連絡を最初に試みた日を起算日とします。
連絡不能開発者 電子メールや郵便、電話、FAX等いずれの手段で製品開発者に連絡を試みても一定期間にわたりまったく応答がない場合には、連絡が取れないと判断します。その場合、当該製品開発者を「連絡不能開発者」と位置づけます。
連絡不能案件 ガイドラインIV. 4. 2) に示した連絡方法すべて試みても製品開発者と9カ月以上連絡が取れない場合、当該案件は連絡不能と判断します。
公表判定委員会 連絡不能案件について、公表する条件を満たしていることを判定する組織です。詳しくは「公表判定委員会とは」を参照ください。
ページトップへ

更新履歴

ページトップへ