ウェブアプリケーション脆弱性関連情報届出様式 2017年5月31日 独立行政法人 情報処理推進機構 セキュリティセンター この届出様式は、ウェブアプリケーションに関する脆弱性関連情報を独立行 政法人情報処理推進機構(IPA)に届け出る際に、届出者の方に使用していた だくものです。円滑な取扱いのために、ご協力をお願いいたします。 届出に際しては、「ウェブアプリケーション脆弱性関連情報届出様式の記入 の手引き」をご一読ください。 https://www.ipa.go.jp/security/vuln/report/guide_web.txt ====================================================================== 年 月 日 0. 取扱い方針 □ 脆弱性関連情報の取扱いプロセスに則り、脆弱性関連情報を取扱うことへの 了解 □ 以下、本ガイドライン適用範囲への了解 ・主に日本国内からのアクセスが想定されているウェブサイトで稼動する ウェブアプリケーションである ・その脆弱性に起因する影響が不特定または多数の人々におよぶおそれがある ※ 上記2つにチェックがない場合は、お取扱いいたしかねます。 ※ 以下、* がある項目は入力必須項目です。 1. 届出者情報 1) 届出者情報 住所(都道府県): 所属: 氏名*: 電子メールアドレス*: TEL: FAX: 届出証明書*: □ 希望する □ 希望しない 2) 届出者情報の取り扱いについて* □ 届出者情報をウェブサイト運営者に知らせても良い □ 届出者情報をウェブサイト運営者には知らせず、すべてのやりとりを IPA とのみ行う ※ 「IPAとのみ」を希望する場合、「2. 脆弱性関連情報」等に届出者情報 は記入しないでください。また、ファイルのプロパティ等に個人情報が 含まれる場合がありますので、ファイルを添付する場合は個人情報を 削除してください。 2. 脆弱性関連情報 1) 脆弱性を確認したウェブサイトのURL* 2) 脆弱性の確認日* 3) 脆弱性の種類* 4) CWEとの関連付け 5) 脆弱性の発見に至った経緯* 6) 脆弱性であると判断した理由* ・攻撃シナリオの概要 - 想定される攻撃者の条件: (例:当該ウェブサイトにログイン可能なユーザ、誰でも攻撃可能など) - 想定される被害者: (例:当該ウェブサイトにログインしているユーザ、罠ページを閲覧した ユーザなど) - 想定される攻撃手順: ・脆弱性と判断した理由: (例:本来閲覧できないXXという情報が漏洩するため、サービスが永続 的に停止するため、本来編集できないXXというファイルが改ざん されるためなど) 7) 脆弱性により発生しうる脅威* - 機密性:(例:データベース内のXXという情報が漏洩する) - 完全性:(例:JavaScriptが実行され、ページの表示が改ざんされる) - 可用性:(例:当該製品が永続的に停止し、復旧不能になる) ※ 攻撃者が脆弱性を用いずに通常の操作の範囲内で同等のことが可能な場合、 脅威とはいえません。 8) ウェブサイトの連絡窓口* 9) 検証コード* 10) 脆弱性が再現した証拠* ※ 当該脆弱性を再現したことが確認できる画面キャプチャ、ログファイルなどを 添付してください。 ※ 証拠の取得に際しては、関連法令に触れることがないように留意してください。 11) 深刻度と影響範囲 CVSS v3 基本値スコア: (例)CVSS:3.0/AV:□/AC:□/PR:□/UI:□/S:□/C:□/I:□/A:□ 利用者数の根拠: 重要インフラの影響: 攻撃コード公表の有無: 本脆弱性を用いた攻撃発生の有無: 12) その他 3. IPA 以外の組織への届出について* □ あり □ なし 届出年月日*: 届出番号: 届出先組織: 問い合わせ窓口URL*: 窓口メールアドレス*: 窓口電話番号: 届出内容*: ※ 届出内容は、届出メールそのものをエクスポートして添付頂くか、 メールのヘッダ情報(送信日時、件名などを含む)と本文を転記してください。 4. 今後の連絡について 1) IPA からの連絡における暗号化* □ 希望する □ 希望しない ※ 希望する場合は、公開鍵を添付してください。 5. その他 ======================================================================