情報セキュリティ

脆弱性関連情報として取り扱えない場合の考え方の解説

最終更新日:2018年6月15日

独立行政法人情報処理推進機構
セキュリティセンター

独立行政法人情報処理推進機構(以下、IPA)および一般社団法人JPCERTコーディネーションセンター(以下、JPCERT/CC)は、脆弱性関連情報の適切な流通および対策の促進を図り、一般利用者に対する被害を予防することを目的として、2004 年 7 月 8 日に「情報セキュリティ早期警戒パートナーシップ(以降、本パートナーシップ)」の運用を開始しました。本パートナーシップは、経済産業省の告示に基づき、関係者に推奨する行為を取りまとめた「情報セキュリティ早期警戒パートナーシップガイドライン(以降、本ガイドライン)」に則り運用しています。しかしながら、届出を受けた脆弱性関連情報の中には、本ガイドラインの定義に合致しないことから、取扱いの対象とならず不受理となるものがあります。本ガイドラインの取扱対象を理解することで、本パートナーシップをより効率的に活用できるよう、過去に不受理となった届出のうち特に件数が多い事例をもとに、本ガイドラインにおける考え方を解説します。

本パートナーシップが取り扱う脆弱性関連情報について

本ガイドラインには、どのようなソフトウエア製品、ウェブアプリケーションの脆弱性関連情報を取り扱うか、その適用の範囲が定義されています。

III.本ガイドラインの適用の範囲

本ガイドラインは、次のものに係る脆弱性であって、その脆弱性に起因する影響が不特定または多数の人々におよぶおそれのあるものに適用します。

日本国内で利用されているソフトウエア製品

  • 「暗号アルゴリズム」や「プロトコル」を実装しているものも含みますが、一般的な「暗号アルゴリズム」や「プロトコル」等の仕様そのものの脆弱性は含みません。

主に日本国内からのアクセスが想定されているウェブサイトで稼働するウェブアプリケーション

  • 例えば、主なコンテンツが日本語である、あるいは URL のホスト名の最上位ドメインが「jp」であるウェブサイト等を指します。

本ガイドラインの適用の範囲に該当しない場合、本パートナーシップの取扱対象外のため、不受理となります。

また、本ガイドラインの適用の範囲に該当した場合、以下の定義に従って脆弱性であるか判断しています。

II.用語の定義と前提

  1. 脆弱性

脆弱性とは、ソフトウエア製品やウェブアプリケーション等において、コンピュータ不正アクセスやコンピュータウイルス等の攻撃により、その機能や性能を損なう原因となり得るセキュリティ上の問題箇所です。

なお、ウェブアプリケーションにおいて、ウェブサイト運営者の不適切な運用によって、個人情報等が適切なアクセス制御の下に管理されておらずセキュリティが維持できなくなっている状態も含みます。

本ガイドラインが定義する脆弱性に該当しない場合、本パートナーシップの取扱対象外のため、不受理となります。

なお、本ガイドラインが定義する脆弱性に該当しないと判断した場合でも、届け出られた情報を製品開発者、またはウェブサイト運営者が認識することが望ましいと IPA が判断した場合は、参考情報として通知することがあります。

取扱対象外の届出事例

ここでは、取扱対象外であるために不受理となった届出のうち、特に件数が多かった事例について、その理由を踏まえて本ガイドラインにおける考え方を解説します。

1.日本国内からのアクセスが想定されないウェブサイトに関する届出

届出内容の例

英語のコンテンツのみが提供されている海外ドメインのウェブサイトに脆弱性が存在する。

本ガイドラインにおける適用範囲の考え方

以下の全てに該当するウェブサイトは、本ガイドラインの適用範囲外であることから、取扱対象外となります。

  • 外国語表記のコンテンツしか見当たらない
  • .us など、日本以外の国コードトップレベルドメイン

2. 攻撃者自身しか攻撃できないクロスサイト・スクリプティング(Self XSS)の届出

届出内容の例

公開されているウェブサイトに存在する入力フォームにクロスサイト・スクリプティングの脆弱性がある。 攻撃者がスクリプトを入力して送信した場合、攻撃者のウェブブラウザ上でスクリプトが実行される。 しかし、攻撃者ではない第三者(被害者)にスクリプトを実行させる方法がない。

本ガイドラインにおける適用範囲の考え方

問題を悪用するには、被害者自身がスクリプトを入力する必要があり、攻撃者は第三者に対してスクリプトを実行させることはできません。IPA では、このような手順でのみ再現する問題を Self XSS と判断しています。
Self XSS のような第三者を攻撃できない手法では、本ガイドラインの「脆弱性」の定義にある「コンピュータ不正アクセスやコンピュータウイルス等の攻撃」に該当しないと判断しています。また、攻撃者が被害者を騙し被害者自身にスクリプトを入力させるような手法も該当しないと判断しています。そのため、本パートナーシップにおいては、取扱対象外となります。

なお、本パートナーシップでは、ソフトウエア製品とウェブアプリケーションに係る脆弱性情報を取り扱いますが、上記事例に関する考え方は届出の種類によらず同一です。

お問い合わせ先

IPA セキュリティセンター

  • E-mail

    vuln-inqアットマークipa.go.jp

更新履歴

  • 2018年6月7日

    公開

  • 2018年6月15日

    「取扱対象外の届出事例」の内容を一部変更