情報セキュリティ
最終更新日:2018年6月15日
独立行政法人情報処理推進機構
セキュリティセンター
独立行政法人情報処理推進機構(以下、IPA)および一般社団法人JPCERTコーディネーションセンター(以下、JPCERT/CC)は、脆弱性関連情報の適切な流通および対策の促進を図り、一般利用者に対する被害を予防することを目的として、2004 年 7 月 8 日に「情報セキュリティ早期警戒パートナーシップ(以降、本パートナーシップ)」の運用を開始しました。本パートナーシップは、経済産業省の告示に基づき、関係者に推奨する行為を取りまとめた「情報セキュリティ早期警戒パートナーシップガイドライン(以降、本ガイドライン)」に則り運用しています。しかしながら、届出を受けた脆弱性関連情報の中には、本ガイドラインの定義に合致しないことから、取扱いの対象とならず不受理となるものがあります。本ガイドラインの取扱対象を理解することで、本パートナーシップをより効率的に活用できるよう、過去に不受理となった届出のうち特に件数が多い事例をもとに、本ガイドラインにおける考え方を解説します。
本ガイドラインには、どのようなソフトウエア製品、ウェブアプリケーションの脆弱性関連情報を取り扱うか、その適用の範囲が定義されています。
本ガイドラインは、次のものに係る脆弱性であって、その脆弱性に起因する影響が不特定または多数の人々におよぶおそれのあるものに適用します。
本ガイドラインの適用の範囲に該当しない場合、本パートナーシップの取扱対象外のため、不受理となります。
また、本ガイドラインの適用の範囲に該当した場合、以下の定義に従って脆弱性であるか判断しています。
脆弱性とは、ソフトウエア製品やウェブアプリケーション等において、コンピュータ不正アクセスやコンピュータウイルス等の攻撃により、その機能や性能を損なう原因となり得るセキュリティ上の問題箇所です。
なお、ウェブアプリケーションにおいて、ウェブサイト運営者の不適切な運用によって、個人情報等が適切なアクセス制御の下に管理されておらずセキュリティが維持できなくなっている状態も含みます。
本ガイドラインが定義する脆弱性に該当しない場合、本パートナーシップの取扱対象外のため、不受理となります。
なお、本ガイドラインが定義する脆弱性に該当しないと判断した場合でも、届け出られた情報を製品開発者、またはウェブサイト運営者が認識することが望ましいと IPA が判断した場合は、参考情報として通知することがあります。
ここでは、取扱対象外であるために不受理となった届出のうち、特に件数が多かった事例について、その理由を踏まえて本ガイドラインにおける考え方を解説します。
英語のコンテンツのみが提供されている海外ドメインのウェブサイトに脆弱性が存在する。
以下の全てに該当するウェブサイトは、本ガイドラインの適用範囲外であることから、取扱対象外となります。
公開されているウェブサイトに存在する入力フォームにクロスサイト・スクリプティングの脆弱性がある。 攻撃者がスクリプトを入力して送信した場合、攻撃者のウェブブラウザ上でスクリプトが実行される。 しかし、攻撃者ではない第三者(被害者)にスクリプトを実行させる方法がない。
問題を悪用するには、被害者自身がスクリプトを入力する必要があり、攻撃者は第三者に対してスクリプトを実行させることはできません。IPA では、このような手順でのみ再現する問題を Self XSS と判断しています。
Self XSS のような第三者を攻撃できない手法では、本ガイドラインの「脆弱性」の定義にある「コンピュータ不正アクセスやコンピュータウイルス等の攻撃」に該当しないと判断しています。また、攻撃者が被害者を騙し被害者自身にスクリプトを入力させるような手法も該当しないと判断しています。そのため、本パートナーシップにおいては、取扱対象外となります。
なお、本パートナーシップでは、ソフトウエア製品とウェブアプリケーションに係る脆弱性情報を取り扱いますが、上記事例に関する考え方は届出の種類によらず同一です。
IPA セキュリティセンター
2018年6月7日
公開
2018年6月15日
「取扱対象外の届出事例」の内容を一部変更