ウェブアプリケーション脆弱性関連情報届出様式の記入の手引き
2017年5月31日

                                         独立行政法人情報処理推進機構
                                         技術本部 セキュリティセンター

======================================================================

1. 届出様式について
  1.1 届出様式を使用する目的
  1.2 届出様式および記入例の入手方法
  1.3 電子メールの件名
  1.4 暗号化

2. 届出様式に記入する際の注意事項とお願い

3. 届出様式の各項目について

======================================================================

1. 届出様式について

  1.1 届出様式を使用する目的

    脆弱性関連情報の取扱いでは、迅速かつ正確な情報の伝達が求められます。
    このため、独立行政法人情報処理推進機構（IPA）では、脆弱性関連情報
  の届出に際し、できる限り正確で十分な情報を届出いただくために、届出様
  式への記入による届出をお願いしています。

  1.2 届出様式の入手方法

    ・届出様式は、以下の URL から入手することができます。

      ウェブアプリケーション脆弱性関連情報届出様式：
    　https://www.ipa.go.jp/security/vuln/report/form_web.txt

    ・脆弱性関連情報の届出の記入例を、以下の URL にて公開しています。
      記入の際の参考としてご覧ください。

      ウェブアプリケーション脆弱性関連情報の届出様式の記入例
      https://www.ipa.go.jp/security/vuln/report/sample_web.txt

  1.3 電子メールの件名

    届出をする際の、電子メールの件名は以下を記入してください。
    ウェブアプリケーション脆弱性関連情報の届出

  1.4 暗号化
    脆弱性関連情報に関する連絡について、IPA では PGP 公開鍵による暗号
  化を推奨しています。
    暗号化をご希望される場合は、以下より「脆弱性関連情報に関する届出」
  用の公開鍵を取得いただき、暗号化の上、届出ください。また、届出の際、
  必ず発見者様の公開鍵をメールに添付してください。

    IPA/ISEC の PGP 公開鍵について
    https://www.ipa.go.jp/security/pgp/index.html

2. 届出様式に記入する際の注意事項とお願い

  届出様式に記入する際には以下の点にご注意ください。

  - 各項目には可能な範囲で情報を記入してください。記入する内容が特定で
    きない場合や、記入することがない場合はその旨を記入してください。
    （不明な点がある場合、IPA から内容の確認をさせていただくことがあり
    ます。）
  - 各入力項目において、* のついている項目は、必ず記入してください。
  - [2. 脆弱性関連情報] の各項目や添付ファイルは、届出者の個人情報を含
    まないよう記入してください。また、ファイルのプロパティ等に個人情報
    が含まれる場合がありますので、ご注意ください。
  - 本届出様式の項目名、項目番号、および、それらの間の半角スペースを変
    更しないようにお願いします。
  - 届出メールの記述は、html 形式ではなく、txt 形式をご使用ください。

  脆弱性関連情報はウェブフォームからも届出することが可能です。
  ぜひご活用ください。
  https://isec-vul-form.ipa.go.jp/ipa-vul-main/index.html
  
3. 届出様式の各項目について

----------------------------------------------------------------------

[年月日] の記入について
  本様式への記入日を記入してください。


[0. 取扱い方針] の記入について

  届出いただく脆弱性関連情報を、告示・ガイドラインに則り、取り扱うこと
に同意していただく必要があります。
  また、届出いただく脆弱性が、本ガイドラインの適用範囲にあることについ
て確認していただく必要があります。
  同意頂ける場合は、チェックしてください。


[1. 届出者情報] の記入について

  1) 届出者情報
      届出いただいた脆弱性関連情報の再現環境や手法などについて、質問を
    させていただくことがあります。そのため、必ず連絡が取れる連絡先を記
    入してください。
      また、届出証明書とは、脆弱性関連情報の届出が IPA に受理されたこ
    とを証明する文書です。発行を希望された場合、届出を受理した後に電子
    メールでお送りさせていただきます。

  2) 届出者情報の取り扱いについて
      届出者情報の取り扱いについて、下記からいずれか 1 つを選択してく
    ださい。

    □ 届出者情報をウェブサイト運営者に知らせても良い
        脆弱性関連情報に関してウェブサイト運営者と直接やりとりをしても
      良い場合は、こちらを選択してください。

    □ 届出者情報をウェブサイト運営者には知らせず、すべてのやりとりを
       IPA とのみ行う
        すべてのやりとりを IPA とのみ行うことを希望する場合は、こちら
      を選択してください。


[2. 脆弱性関連情報] の記入について

　1) 脆弱性を確認したウェブサイトのURL
      脆弱性が存在することを確認したウェブサイトのURLを記入してくださ
    い。

  2) 脆弱性の確認日
      脆弱性が存在することを確認した日を記入してください。
  
  3) 脆弱性の種類
      どのような脆弱性かを簡潔に記入してください。

  4) CWEとの関連付け
      該当するCWE識別子がわかる場合は記入してください。

      CWE については、下記資料を参照してください。
      共通脆弱性タイプ一覧CWE概説
      https://www.ipa.go.jp/security/vuln/CWE.html

  5) 脆弱性の発見に至った経緯
      脆弱性を発見した際の具体的な操作内容および、その結果を記入してく
    ださい。また、エラーが表示された場合には、エラーの内容を転記してく
    ださい。

  6) 脆弱性であると判断した理由
     ・攻撃シナリオの概要
        この脆弱性を攻撃するシナリオについて、想定される攻撃者の条件、
      想定される被害者、および、想定される攻撃手順を記入してください。

     ・脆弱性と判断した理由
        なぜ脆弱性（セキュリティ上の問題）であると判断したのか、その理
      由について記入してください。

  7) 脆弱性により発生しうる脅威
      機密性、完全性、可用性の観点から、この脆弱性によりどのような脅威
    が発生しうるかについて記入してください。
      また、この脆弱性が悪用されてしまうと、どのような影響が出ることが
    予想されるか、可能な範囲で、具体的に記入してください。
      なお、攻撃者が脆弱性を用いずに通常の操作の範囲内で同等のことが可
    能な場合、脅威があるとはいえません。

  8) ウェブサイトの連絡窓口*
      このウェブサイトの連絡窓口がわかる場合には記入してください。

  9) 検証コード
      この脆弱性を再現する（脆弱性の存在を確認できる）攻撃ツールや検証
    コードがあれば、記入するか、または、ファイルを添付してください。

  10) 脆弱性が再現した証跡
      この脆弱性が再現したことを確認できる画面キャプチャ、ログファイル
    などを添付してください。証拠の取得に際しては、関連法令に触れること
    がないように留意してください。
      発見者が心得ておくべき法的な問題については、ガイドラインの「付録3
    法的な論点について」を参照してください。

      情報セキュリティ早期警戒パートナーシップガイドライン
      https://www.ipa.go.jp/security/ciadr/partnership_guide.html

  11) 深刻度と影響範囲
     CVSS v3 基本値スコア：
       可能であれば、この脆弱性の深刻度を表す CVSS v3 基本値スコアを記
     入してください。

       CVSS v3については下記資料をご参照ください。
       共通脆弱性評価システムCVSS v3概説
       https://www.ipa.go.jp/security/vuln/CVSSv3.html

     利用者数の根拠：
       この脆弱性の影響範囲を想定するにあたり、ウェブサイトの利用者数
     の大小について見解があれば記入してください。また、見解がある場合
     は、その根拠を記入してください。

     重要インフラの影響：
       この脆弱性を悪用された場合に、重要インフラへの影響が考えられる
     場合、下記について記入してください。
         ・脆弱性の影響を受ける重要インフラの分野/システム
         ・想定される具体的な影響・被害の内容

       「重要インフラ事業者等」については下記の資料「別紙１」を参考に
     してください。

        「重要インフラの情報セキュリティ対策に係る第 ４ 次行動計画」
         https://www.nisc.go.jp/active/infra/pdf/infra_rt4.pdf

     攻撃コード公表の有無：
       既にこの脆弱性を悪用した攻撃コードが公表されていることを確認さ
     れている場合は、攻撃コードが公表されているURLを記入してください。

     本脆弱性を用いた攻撃発生の有無：
       既にこの脆弱性を悪用した攻撃の発生を確認されている場合は、その
     情報の掲載元や確認した経緯について詳細に記入してください。

  12) その他
       上記のほか、この届出に関する情報があれば記入してください。


[3. IPA 以外の組織への届出について] の記入について

  当該ウェブサイト運営者や第三者機関など、IPA 以外の組織に対し、この脆
弱性関連情報について届出を行っている場合には、その届出に関する情報を可
能な範囲で記入してください。また、届出を行った際、識別番号・識別子など
が発行されている場合は、該当する識別番号・識別子を「届出番号」に記入し
て下さい。


[4. 今後の連絡について] の記入について

  IPA から連絡をする場合に、メールの暗号化を希望するかどうかを選択して
ください。暗号化を希望する場合には、発見者様のPGP 公開鍵を添付して送付
してください。


[5. その他] の記入について

  その他、IPA に特に伝えておきたい情報があれば記入してください。


----------------------------------------------------------------------