ソフトウエア製品脆弱性関連情報届出様式の記入の手引き 2017年5月31日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター ====================================================================== 1. 届出様式について 1.1 届出様式を使用する目的 1.2 届出様式および記入例の入手方法 1.3 電子メールの件名 1.4 暗号化 2. 届出様式に記入する際の注意事項とお願い 3. 届出様式の各項目について ====================================================================== 1. 届出様式について 1.1 届出様式を使用する目的 脆弱性関連情報の取扱いでは、迅速かつ正確な情報の伝達が求められます。 このため、独立行政法人情報処理推進機構(IPA)では、脆弱性関連情報 の届出に際し、できる限り正確で十分な情報を届出いただくために、届出様 式への記入による届出をお願いしています。 1.2 届出様式の入手方法 ・届出様式は、以下の URL から入手することができます。 ソフトウエア製品脆弱性関連情報届出様式: https://www.ipa.go.jp/security/vuln/report/form.txt ・脆弱性関連情報の届出の記入例を、以下の URL にて公開しています。 記入の際の参考としてご覧ください。 ソフトウエア製品脆弱性関連情報の届出様式の記入例 https://www.ipa.go.jp/security/vuln/report/sample.txt 1.3 電子メールの件名 届出をする際の電子メールの件名は以下を記入してください。 ソフトウエア製品脆弱性関連情報の届出 1.4 暗号化 脆弱性関連情報に関する連絡について、IPA では PGP 公開鍵による暗号 化を推奨しています。 暗号化をご希望される場合は、以下より「脆弱性関連情報に関する届出」 用の公開鍵を取得いただき、暗号化の上、届出ください。また、届出の際、 必ず発見者様の公開鍵をメールに添付してください。 IPA/ISEC の PGP 公開鍵について https://www.ipa.go.jp/security/pgp/index.html 2. 届出様式に記入する際の注意事項とお願い 届出様式に記入する際には以下の点にご注意ください。 - 各項目には可能な範囲で情報を記入してください。記入する内容が特定で きない場合や、記入することがない場合はその旨を記入してください。 (不明な点がある場合、IPA から内容の確認をさせていただくことがあり ます。) - 各入力項目において、* のついている項目は、必ず記入してください。 - [2. 脆弱性関連情報] の各項目や添付ファイルは、届出者の個人情報を含 まないよう記入してください。また、ファイルのプロパティ等に個人情報 が含まれる場合がありますので、ご注意ください。 - 本届出様式の項目名、項目番号、および、それらの間の半角スペースを変 更しないようにお願いします。 - 届出メールの記述は、html 形式ではなく、txt 形式をご使用ください。 脆弱性関連情報はウェブフォームからも届出することが可能です。 ぜひご活用ください。 https://isec-vul-form.ipa.go.jp/ipa-vul-main/index.html 3. 届出様式の各項目について ---------------------------------------------------------------------- [年月日] の記入について 本様式への記入日を記入してください。 [0. 取扱い方針] の記入について 届出いただく脆弱性関連情報を、告示・ガイドラインに則り、取り扱うこと に同意していただく必要があります。 また、届出いただく脆弱性が、本ガイドラインの適用範囲にあることについ て確認していただく必要があります。 同意頂ける場合は、チェックしてください。 [1. 届出者情報] の記入について 1) 届出者情報 届出いただいた脆弱性関連情報の再現環境や手法などについて、質問を させていただくことがあります。そのため、必ず連絡が取れる連絡先を記 入してください。 また、届出証明書とは、脆弱性関連情報の届出が IPA に受理されたこ とを証明する文書です。発行を希望された場合、届出を受理した後に電子 メールでお送りさせていただきます。 2) 届出者情報の取り扱いについて 届出者情報の取り扱いについて、下記からいずれか 1 つを選択してく ださい。 □ 届出者情報を製品開発者に知らせても良い(調整機関経由になります) 製品開発者に連絡先を通知し、脆弱性関連情報に関して製品開発者と 直接やりとりをしても良い場合は、こちらを選択してください。 □ 届出者情報を製品開発者には知らせず、すべてのやりとりを IPAとのみ 行う(調整機関にも伝わりません) すべてのやりとりを IPA とのみ行うことを希望する場合は、こちら を選択してください。 3) 対策情報公表時の謝辞への届出者名の記載について 脆弱性情報および対策情報の公表に際し、謝辞として届出者の情報を記 載して良いかどうかを選択してください。届出者情報を記載して良い場合 は、記載する情報を日本語表記、英語表記をそれぞれ記入してください。 所属の記載を希望しない場合は、「記載なし」と記入してください。 「記載しても良い」を選択した場合、JVN では必ず掲載させていただき ますが、製品開発者サイト掲載されるかどうかは製品開発者の判断となり ます。 [2. 脆弱性関連情報] の記入について 1) この脆弱性関連情報の入手先 この脆弱性関連情報をどのように入手したかを選択してください。 □ 自分で発見した 届出者の方自身が発見した場合は、こちらを選択してください。 □ 人から入手した 届出者の方自身ではなく、ほかの方が発見した情報を入手したことに よる届出である場合は、こちらを選択してください。 □ ウェブサイトから入手した (URL: ) ウェブサイトなどの一般に公開されている情報である場合は、こちら を選択してください。また、その情報を公開しているウェブサイトの URL を記入してください。 2) 脆弱性を確認したソフトウエア等に関する情報 脆弱性が存在することを確認したソフトウエア等に関する情報を、可能 な限り詳細に記入してください。特に、脆弱性を確認した環境が初期状態 から設定を変更している環境である場合には、設定の詳細について記入し てください。 該当項目の情報が不明な場合は、「不明」、情報が存在しない場合は、 「-」と記入してください。 3) 脆弱性の種類 どのような脆弱性かを簡潔に記入してください。 4) CWEとの関連付け 該当するCWE識別子がわかる場合は記入してください。 CWE については、下記資料を参照してください。 共通脆弱性タイプ一覧CWE概説 https://www.ipa.go.jp/security/vuln/CWE.html 5) 脆弱性の再現手順と判断理由 ・再現手順の概要 この脆弱性を攻撃するシナリオについて、想定される攻撃者の条件、 想定される被害者を記入してください。 また、なぜ脆弱性(セキュリティ上の問題)であると判断したのか、 その理由について記入してください。 ・具体的な手順 脆弱性を再現するための手順(何をしたらどうなったのか)を詳細に 記入してください。 6) 再現の状況 □ 常に □ 時々 □ まれに 補足説明(バージョンによる、言語による、などを記入してください) 5) の再現手順を実行した際に、状況が再現する頻度を選択してください。 また、再現するための条件(手順、環境など)についての情報をお持ちの 場合や、逆に再現しない場合の条件についての情報をお持ちの場合には、 補足説明として記入してください。 7) 脆弱性により発生しうる脅威 機密性、完全性、可用性の観点から、この脆弱性によりどのような脅威 が発生しうるかについて記入してください。 また、この脆弱性が悪用されてしまうと、どのような影響が出ることが 予想されるか、可能な範囲で、具体的に記入してください。 なお、攻撃者が脆弱性を用いずに通常の操作の範囲内で同等のことが可 能な場合、脅威があるとはいえません。 8) 回避策 設定の変更など、この脆弱性を悪用されないようにするための方法があ れば、記入してください。 9) 検証コード この脆弱性を再現する(脆弱性の存在を確認できる)攻撃ツールや検証 コードがあれば、記入するか、または、ファイルを添付してください。 10) 脆弱性が再現した証跡 この脆弱性が再現したことを確認できる画面キャプチャ、ログファイル などを添付してください。 11) 深刻度と影響範囲 CVSS v3 基本値スコア: 可能であれば、この脆弱性の深刻度を表す CVSS v3 基本値スコアを記 入してください。 CVSS v3については下記資料をご参照ください。 共通脆弱性評価システムCVSS v3概説 https://www.ipa.go.jp/security/vuln/CVSSv3.html 利用者数の根拠: この脆弱性の影響範囲を想定するにあたり、届出製品の利用者数(ダウ ンロード数等)をご存知の場合は、その根拠(情報の掲載元等)と併せて記 入してください。 重要インフラの影響: この脆弱性を悪用された場合に、重要インフラへの影響が考えられる 場合、下記について記入してください。 ・脆弱性の影響を受ける重要インフラの分野/システム ・想定される具体的な影響・被害の内容 「重要インフラ事業者等」については下記の資料「別紙1」を参考に してください。 「重要インフラの情報セキュリティ対策に係る第 4 次行動計画」 https://www.nisc.go.jp/active/infra/pdf/infra_rt4.pdf 攻撃コード公表の有無: 既にこの脆弱性を悪用した攻撃コードが公表されていることを確認さ れている場合は、攻撃コードが公表されているURLを記入してください。 本脆弱性を用いた攻撃発生の有無: 既にこの脆弱性を悪用した攻撃の発生を確認されている場合は、その 情報の掲載元や確認した経緯について詳細に記入してください。 12) その他 上記のほか、この脆弱性に関する情報がある際には記入してください。 [3. 当該ソフトウエアの海外での利用状況について] の記入について 脆弱性について、海外の製品開発者を含めて調整する必要があるかどうかを 判断するために、海外で開発・配布/販売されているものかどうかを選択して ください。該当する選択肢がない場合は、その他に詳細を記入してください。 [4. IPA 以外の組織への届出について] の記入について 当該製品開発者や第三者機関など、IPA 以外の組織に対し、この脆弱性関連 情報について届出を行っている場合には、その届出に関する情報を可能な範囲 で記入してください。また、届出を行った際、識別番号・識別子などが発行さ れている場合は、該当する識別番号・識別子を「届出番号」に記入して下さい。 製品開発者へ直接届出をしている場合は、その内容(宛先、日時、件名、本 文)をメールに添付いただければ幸いです。 [5. 今後の調整方針について] の記入について 今後の調整について希望する方針を選択してください。 ※[4. IPA 以外の組織への届出について]を[なし]とされた場合、記入いた だく必要はありません。 製品開発者は複数の経路から脆弱性関連情報を受け付けた場合、第一発見者 を重視する傾向があります。発見者様と製品開発者との間で既に調整が進んで いる状況において、製品開発者との調整機関である JPCERT/CC が、同じ脆弱 性について連絡した場合、製品開発者の混乱を招く恐れや、調整を拒否される 可能性があります。このような状況を避けるため、IPA 以外の組織へ届出をさ れる場合には、IPA・製品開発者双方への緊密な情報の連携にご協力ください ますようお願いいたします。 [6. 今後の連絡について] の記入について IPA から連絡をする場合に、メールの暗号化を希望するかどうかを選択して ください。暗号化を希望する場合には、発見者様のPGP 公開鍵を添付して送付 してください。 [7. その他] の記入について その他、IPA に特に伝えておきたい情報があれば記入してください。 ----------------------------------------------------------------------