IPAの脆弱性届け出制度、初年度の成果は

2005/1/26

 情報処理推進機構(IPA)とJPCERT コーディネーションセンター(以下、JPCERT/CC)は、2004年7月に開始したソフトウェアの脆弱性届け出制度について、累計で172件の届け出があり、48件の脆弱性が修正されたと1月25日に発表した。IPAの情報処理推進機構 セキュリティセンター長 早貸淳子氏は「この制度の策定で、脆弱性の対策がないままアンダーグラウンドに情報が流れる状況については、抑止が働いている」と述べ、一定の効果が出ているとの認識を示した。

IPAの情報処理推進機構 セキュリティセンター長 早貸淳子氏

 ソフトウェアの脆弱性に関する届け出制度は、IPAが窓口となって情報を受け付け、JPCERT/CCがベンダ間で対策方法を調整している。Webアプリケーションの脆弱性はIPAが直接、Webサイトの運営者などに働きかけて対策を促すことになっている。IPAはベンダが脆弱性の対策を行った段階で、脆弱性の内容や対策をWebサイト「JVN」で公開し、ユーザーに対してパッチ適用などの対策を呼びかける。IPAはガイドラインとして、脆弱性の届け出から一般への公開までの期間を45日としている。

 IPAの発表によると、2004年末までにあったソフトウェアの脆弱性に関する届け出は32件。うち、11件の対策を完了した。複数のベンダにまたがるなど対策の調整が続いている案件は14件。ベンダによって脆弱性ではないと確認されたケースが3件、コンピュータ環境によって発生する問題で脆弱性とは認められずに不受理となった届け出が4件あった。

 IPAが2004年第4四半期に公表したソフトウェアの脆弱性8件のうち、最も多かったのが電子メールクライアントのS/MIME署名検証機能の脆弱性。8件のうち4件がこのケースだった。S/MIME署名検証は、S/MIMEの電子署名を使って電子メールの送信者を本人かどうか確認する機能。しかし、脆弱性を持つ電子メールクライアントでは、送信者になりすまして送信された電子メールでも誤って本人と確認してしまう危険があった。

 また、公表された脆弱性には、ネットワークに対応したHDD&DVDビデオレコーダーが認証なしで外部からアクセスでき、スパムや不正アクセスの踏み台にされたケースもあった。このビデオレコーダーは外出先などからWebブラウザを使って番組予約ができるようWebサーバ機能がついていた。しかし、設定によってはWebサーバの認証機能が働かず、オープンプロキシサーバとして動作していたため踏み台になっていた。

IPA 技術担当理事 窪田明氏

 Webアプリケーションの脆弱性は2004年末までに140件を受け付けた。そのうち37件の修正を完了。対策を検討しているケースが51件、脆弱性を確認できなかった案件が11件、Webアプリケーションの運用で脆弱性を回避したのが4件、Webアプリケーションが動作しているWebサイトを削除したケースが7件あった。しかし、Webサイトの運営者と連絡が取れずに対策が行われないまま放置されているケースが26件あった。受理しなかったのは4件。

 届け出があった脆弱性のうち、最も多かったのがクロスサイト・スクリプティングに関する内容。IPAの技術担当理事 窪田明氏は「脆弱性を利用し、フィッシング詐欺などWebサイト上への偽情報の表示が増加しつつある」と説明した。

 「水面下でやりとりされていた脆弱性情報が、きちんと流れるようになった」(窪田氏)とIPA、JPCERT/CCはソフトウェアの脆弱性情報の届け出制度に関して一定の評価をしている。今後の課題は、この制度に関する認知を一般に広げて、届け出数を増やすこと。注力したい分野の1つは、DVDビデオレコーダーなどに使われる組み込みソフトウェアに関する脆弱性だ。早貸氏は「(脆弱性を公表した)HDD&DVDビデオレコーダーのケースでは、ベンダの事業部の人が脆弱性届け出制度やJVNを知らなかった。ベンダの取り込みが今後の課題の1つ」と語った。

 脆弱性が発見された製品のベンダに対して早期の対策を求めるのも今後の課題となる。ガイドラインでは45日となっているが、JPCERT/CCの伊藤友里恵氏によると「ソフトウェアの脆弱性情報の届け出では、届け出から情報の公表まで45日以内に完了するのは約半分」。海外のCERTから届け出があったソフトウェアや複数のベンダが関係するソフトウェアでは、公表までの期間が長くなってしまうという。対策までの期間が長引けば、脆弱性が発見される危険もそれだけ高まるだけに、IPA、JPCERT/CCとベンダとのパートナーシップが重要になる。

IPAがフィッシング防止ガイドライン公表へ

 また、早貸氏はフィッシング詐欺対策として、Webサイトを構築、運営する事業者、サービスプロバイダ向けのガイドラインをIPA セキュリティセンターが作成し、2月中旬にも公表する方針を明らかにした。Webブラウザのアドレスバーを表示させないWebサイトのデザインや、サーバ証明書を取得していても取得を示すマークをWebサイトに掲示していないWebサイトがあり、ユーザーがWebサイトを判断できない原因になっていると指摘。早貸氏は「本物のWebサイトが(アドレスバーやサーバ証明書の提示などを)きちんとすれば、ユーザーが怪しいWebサイトに気づきやすい環境が作れる」と、ガイドライン作成の理由を説明した。

(@IT 垣内郁栄)

[関連リンク]
情報処理推進機構(IPA)
JPCERT コーディネーションセンター

[関連記事]
「組み込み版ITSS」策定でエンジニアが大移動? (@ITNews)
IPAの新組織「SEC」で“日の丸ソフト”の夜は明けるか (@ITNews)
脆弱性情報はIPAに届け出、ベンダ調整の新ルール策定へ (@ITNews)
国の情報セキュリティ研究機関に何が期待できるか (@ITNews)
世界連携でゼロデイ・アタックを防ぐJPCERT/CC (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)