ソフトウエア製品脆弱性関連情報届出様式の記入の手引き 2007年6月1日 独立行政法人 情報処理推進機構 セキュリティセンター ====================================================================== 1. 届出様式について 1.1 届出様式を使用する目的 1.2 届出様式の入手方法 2. 届出様式に記入する際の注意事項とお願い 3. 脆弱性関連情報の届出の記入例について 4. 届出様式の各項目について ====================================================================== 1. 届出様式について 1.1 届出様式を使用する目的 独立行政法人情報処理推進機構(IPA)では、脆弱性関連情報の届出に際 し、できる限り正確な情報を届出いただき、迅速に対応するために、届出様 式への記入による届出をお願いしています。 1.2 届出様式の入手方法 届出様式は、以下の URL をご覧の上、ご利用下さい。 ソフトウエア製品脆弱性関連情報: http://www.ipa.go.jp/security/vuln/report/form.txt 2. 届出様式に記入する際の注意事項とお願い 届出様式に記入する際には以下の点にご注意下さい。 - 各項目には記入できる範囲で記入して下さい。記入する内容が特定できな い場合や、記入することがない場合はその旨を記入してください。(不明 な点がある場合、IPA から内容の確認をさせていただくことがあります。) - IPAへのご要望がある場合には、その内容を明確に記入して下さい。 3. 脆弱性関連情報の届出の記入例について 脆弱性関連情報の届出の記入例を、以下の URL にて公開しています。記入 の際の参考としてご覧下さい。 ソフトウエア製品脆弱性関連情報の届出様式の記入例 http://www.ipa.go.jp/security/vuln/report/sample.txt 4. 届出様式の各項目について ---------------------------------------------------------------------- [0. 脆弱性関連情報の取扱い方針] の記入について 届出いただいた脆弱性関連情報は、脆弱関連情報の取扱いプロセスに則り、 調整機関である一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)を通じて、製品開発者へ報告されます。まずこの方針に同意し ていただく必要があります。 [1. 届出者情報] の記入について 1) 届出者情報 届出いただいた脆弱性関連情報の再現環境や手法などについて、質問をさせ ていただくことがあります。そのため、必ず連絡が取れる連絡先を記入してく ださい。 2) 届出者情報の取り扱いについて 届出いただいた脆弱性関連情報について、製品開発者から届出者に対して確 認したい事項がある場合、通常はJPCERT/CC、IPAを通じて届出者に質問が届き ます。迅速に対処するために、1) で記入していただいた届出者情報を製品開 発者および JPCCERT/CC に通知することで、この際の仲介の段階を減らすこと が出来ます。届出者情報の取り扱いについて、下記の3つの中から選択してく ださい。 □ 届出者情報を製品開発者に知らせても良い(調整機関経由になります) 開発者に連絡先を通知し、脆弱性関連情報に関して開発者と直接やりと りをしても良い場合は、こちらを選択してください。 □ 届出者情報を製品開発者には知らせず、すべてのやりとりを IPAとのみ 行う(調整機関にも伝わりません) すべてのやりとりを IPA とのみ行いたい場合は、こちらを選択してく ださい。 3) 対策情報公表時の謝辞への届出者名の記載について 3-1) JVNでの記載 □ 記載しても良い □ 記載して欲しくない 3-2) 製品開発者サイトでの記載 □ 記載しても良い □ 記載して欲しくない 記載しても良い場合は、記載する情報を記入してください(日本語、英語) 所属: 氏名: 脆弱性および対策情報の公表に際し、謝辞として届出者の情報を記載し ても良いかどうかを選択してください。また、届出者情報を記載しても良 い場合は、JVN や製品開発者サイトで記載する情報を記入してください。 JVNでの記載について、「記載しても良い」を選択した場合、謝辞として 必ず記載させていただきます。 製品開発者サイトでの掲載について、「記載しても良い」を選択した場合、 JPCERT/CC から製品開発者に対し、発見者への謝辞を掲載するよう推奨いた しますが、掲載されるかどうかは製品開発者の判断となります。 [2. 脆弱性関連情報] の記入について 1) この脆弱性関連情報の入手先 この脆弱性関連情報をどのように入手したかを選択してください。 □ 自分で発見した 届出者の方自身が発見した場合は、こちらを選択してください。 □ 人から入手した 届出者の方自身ではなく、ほかの方が発見した情報を入手したことに よる届出である場合は、こちらを選択してください。 □ ウェブサイトから入手した (URL: ) ウェブサイトなどの一般に公開されている情報である場合は、こちら を選択してください。 2) 脆弱性を確認したソフトウエア等に関する情報 名称: バージョン: パッチレベル: 言語: 設定情報: 脆弱性が存在することを確認したソフトウエア等に関する情報を、できる 限り詳細に記入してください。また、脆弱性を確認した環境が、特に設定を 変更している環境である場合には、設定の詳細について記入してください。 3) 脆弱性の種類 どのような脆弱性かを簡潔に記入してください。 4) 再現手順 脆弱性を再現するための手順(何をしたらどうなったのか)を詳細に記入 してください。 5) 再現の状況 □ 常に □ 時々 □ まれに 補足説明(バージョンによる、言語による、などを記入してください) 4) の手順を実行した際に、状況が再現する頻度を選択してください。ま た、再現するための条件(手順、環境など)についての情報をお持ちの場合 や、逆に再現しない場合の条件についての情報をお持ちの場合には、補足説 明として記入してください。 6) 脆弱性により発生しうる脅威 この脆弱性によりどのような脅威が発生しうるかを記入してください。 また、この脆弱性が実際に悪用されてしまうと、どのような影響が出ること が予想されるか、おわかりの場合はそれを記入してください。 7) 回避策 設定の変更など、この脆弱性を悪用されないようにするための方法があれ ば、記入してください。 8) 検証コード この脆弱性を悪用し攻撃する、または、この脆弱性を再現する、脆弱性の 存在を証明することができるツールやコードがあれば記入してください。検 証コードや攻撃ツールが該当します。 9) その他 上記のほか、この脆弱性に関する事項がある際には記入してください。 [3. 当該ソフトウエアの海外での利用状況について] の記入について □ 海外で開発されたソフトウエアである □ 国内で開発されたソフトウエアであるが、他のソフトウエアに組み 込まれ、海外で配布/販売されている □ 国内で開発されたソフトウエアであるが、海外で配布/販売されて いる □ 国内で開発されたソフトウエアであり、海外で配布/販売されてい るかどうかは不明である。 □ その他( ) 脆弱性について、海外の製品開発者を含めて調整する必要があるかどうかを 判断するために、海外で開発・利用されているものかどうかを書いてください。 [4. IPA 以外の組織への届出について] の記入について 当該製品開発者や第三者機関など、IPA 以外の組織に対し、この脆弱性関連 情報について届出を行っている場合には、その届出に関する情報を可能な範囲 で記入してください。 [5. 今後の連絡について] の記入について 1) IPA からの連絡における暗号化 □ 希望する □ 希望しない ※希望する場合は、公開鍵を添付してください。 IPAから連絡をする場合に、暗号化を希望するかどうかを選択してくだ さい。暗号化を希望する場合には、PGP公開鍵を添付して送付してくださ い。 [6. その他] の記入について 上記のほか、IPA に特に伝えておきたい事項があれば記入してください。 ---------------------------------------------------------------------- _________ 改訂履歴 2005年12月19日 届出様式の変更に伴い、修正 2006年 9月 1日 届出様式の変更に伴い、修正 2007年 6月 1日 届出様式の変更に伴い、修正