ソフトウエア製品脆弱性関連情報届出様式 2017年5月31日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター この届出様式は、ソフトウエア等に関する脆弱性関連情報を独立行政法人情 報処理推進機構(IPA)に届け出る際に、届出者の方に使用していただくもの です。円滑な取扱いのために、ご協力をお願いいたします。 届出に際しては、「ソフトウエア製品脆弱性関連情報届出様式の記入の手引き」 をご一読ください。 https://www.ipa.go.jp/security/vuln/report/guide.txt ====================================================================== 年 月 日 0. 取扱い方針 □ 脆弱性関連情報の取扱いプロセスに則り、脆弱性関連情報を取扱うことへの 了解 □ 以下、本ガイドライン適用範囲への了解 ・日本国内で利用されているソフトウエア製品に関わる脆弱性である ・その脆弱性に起因する影響が不特定または多数の人々におよぶおそれのある ※ 上記2つにチェックがない場合は、届出を行うことができません。 ※ 以下、* がある項目は入力必須項目です。 1. 届出者情報 1) 届出者情報 住所(都道府県): 所属: 氏名*: 電子メールアドレス*: TEL: FAX: 届出証明書*: □ 希望する □ 希望しない 2) 届出者情報の取り扱いについて* □ 届出者情報を製品開発者に知らせても良い(調整機関経由になります) □ 届出者情報を製品開発者には知らせず、すべてのやりとりを IPAとのみ 行う(調整機関にも伝わりません) ※ 「IPAとのみ」を希望する場合、「2. 脆弱性関連情報」等に届出者情報 は記入しないでください。また、ファイルのプロパティ等に個人情報が 含まれる場合がありますので、ファイルを添付する場合は個人情報を 削除してください。 3) 対策情報公表時の謝辞への届出者名の記載について* 3-1) JVNでの記載 □ 記載しても良い □ 記載して欲しくない 3-2) 製品開発者サイトでの記載 □ 記載しても良い □ 記載して欲しくない 記載しても良い場合は、記載する情報を記入してください(日本語、英語) 所属: 氏名: ※ 謝辞を希望する場合は、必ず日本語表記、英語表記をそれぞれ記載して ください。JVN 日本語版の謝辞についても英語表記を希望する場合は、 お手数ですが、英語表記を 2 つ句読点で区切って記入してください。 ※ 謝辞に所属の記載を希望しない場合、「記載なし」と記入してください。 ※ JPCERT/CC から製品開発者に対し、発見者への謝辞を掲載するよう 推奨いたしますが、掲載されるかどうかは製品開発者の判断となります。 2. 脆弱性関連情報 1) この脆弱性関連情報の入手先* □ 自分で発見した □ 人から入手した □ ウェブサイトから入手した(URL: ) 2) 脆弱性を確認したソフトウエア等に関する情報 脆弱性の確認日*: 名称*: バージョン*: パッチレベル*: 製品開発言語*: 製品開発者名*: 製品開発者のウェブサイトURL*: 製品ダウンロードサイトまたは、ソフトウエア製品の情報URL*: 製品開発者の連絡先メールアドレス*: 製品開発者の住所、電話番号: 設定情報*: ※ パッチレベルについては、マイナーバージョンや適用されたパッチに 対する情報、あるいはサービスパックやホットフィックス等の情報を 含みます。 ※ 開発者の連絡先については、メールアドレス、またはメールアドレスが ない場合は、電話番号、住所等の情報を含みます。 3) 脆弱性の種類* 4) CWEとの関連付け 5) 脆弱性の再現手順と判断理由* ・再現手順の概要 - 想定される攻撃者の条件: (例:当該製品にログイン可能なユーザ、誰でも攻撃可能など) - 想定される被害者: (例:当該製品にログインしているユーザ、罠ページを閲覧したユーザなど) - 脆弱性と判断した理由: (例:本来閲覧できないXXという情報が漏洩するため、サービスが永続的に 停止するため、本来編集できないXXというファイルが改ざんされるためなど) ・具体的な手順 6) 再現の状況* □ 常に □ 時々 □ まれに 補足説明(バージョンによる、言語による、などを記入) 7) 脆弱性により発生しうる脅威* - 機密性:(例:データベース内のXXという情報が漏洩する) - 完全性:(例:JavaScriptが実行され、ページの表示が改ざんされる) - 可用性:(例:当該製品が永続的に停止し、復旧不能になる) ※ 攻撃者が脆弱性を用いずに通常の操作の範囲内で同等のことが可能な場合、 脅威とはいえません 8) 回避策* 9) 検証コード* 10) 脆弱性が再現した証跡* ※ 当該脆弱性を再現したことが確認できる画面キャプチャ、ログファイルなどを 添付してください。 ※ 証拠の取得に際しては、関連法令に触れることがないように留意してください。 11) 深刻度と影響範囲 CVSS v3 基本値スコア: (例)CVSS:3.0/AV:□/AC:□/PR:□/UI:□/S:□/C:□/I:□/A:□ 利用者数の根拠: 重要インフラの影響: 攻撃コード公表の有無: 本脆弱性を用いた攻撃発生の有無: 12) その他 3. 当該ソフトウエアの海外での利用状況について* □ 海外で開発されたソフトウエアである □ 国内で開発されたソフトウエアであるが、他のソフトウエアに組み 込まれ、海外で配布/販売されている □ 国内で開発されたソフトウエアであるが、海外で配布/販売されて いる □ 国内で開発されたソフトウエアであり、海外で配布/販売されてい るかどうかは不明である。 □ その他( ) 4. IPA 以外の組織への届出について* □ あり □ なし 届出年月日*: 届出番号: 届出先組織*: 問い合わせ窓口URL*: 窓口メールアドレス*: 窓口電話番号: 届出内容*: ※ 届出内容は、届出メールそのものをエクスポートして添付頂くか、メールの ヘッダ情報(送信日時、件名などを含む)と本文を転記してください。 5.今後の調整方針について* 1) 開発者へ届出されている場合 □ 開発者との調整を発見者自身で対応する □ 開発者との調整をパートナーシップに依頼する ※ 開発者の混乱を避けるため、発見者から調整依頼があるまで本制度での対応は開始しません。 ※ 開発者の了承が得られずに、JVN公表できない恐れがあります。 ※ JVN公表を要望している場合は、その旨を予め発見者から製品開発者へ伝えてください。 2) 開発者との調整をパートナーシップに依頼する場合 □ 今後の調整方針を開発者に連絡済み □ 今後の調整方針を開発者に未連絡 ※ 開発者との調整を本制度に依頼する場合、その旨を製品開発者へ連絡して下さい。 もし、未連絡の場合は、理由を記載してください。 6. 今後の連絡について 1) IPA からの連絡における暗号化* □ 希望する □ 希望しない ※ 希望する場合は、公開鍵を添付してください。 7. その他 ======================================================================