情報処理推進機構(IPA)＆JPCERT コーディネーションセンター(JPCERT/CC)の脆弱性届出制度関連のお話。
http://www.itmedia.co.jp/enterprise/articles/0410/19/news030.html
http://internet.watch.impress.co.jp/cda/news/2004/10/18/5019.html
http://itpro.nikkeibp.co.jp/free/SI/NEWS/20041018/151352/
http://www.ipa.go.jp/security/vuln/report/vuln2004q3.html
なんていうのかしら…予想通りというか、予想以上というか。情けない結果だったらありゃしないわ。
大体

http://internet.watch.impress.co.jp/cda/news/2004/10/18/5019.htmlより
IPAからの脆弱性指摘メールがフィッシングに勘違いされる場合も？
-中略-
IPAとJPCERT/CCでは、届出により指摘があったWebサイトの運営者に対してメールと電話で連絡をとっているが、この制度自体を知らないWebサイト運営者からはセールスやフィッシング詐欺と勘違いされ、取り合ってくれない場合があるためだ。

ってあたりで、色々な意味終わってるんじゃなくってかしら？
まぁ「全てのWebサイトの運営者に連絡」ってのは無理だと思うんですけれども。あたしが思うに、これってどう考えても「IPAとJPCERT/CCの連絡の仕方に大きなミスがある」ようにしか思えないのよね。そのあたりの内省ってちゃんとできているのかしら？


で。とりあえずIPAのサイトで「ソフトウエア等の脆弱性関連情報に関する届出状況[2004年第3四半期（7月〜9月）( http://www.ipa.go.jp/security/vuln/report/documents/vuln2004q3.pdf )」を見たんですけれども……。
まぁ、軽く突っ込みを入れてみるわね。

http://www.ipa.go.jp/security/vuln/report/documents/vuln2004q3.pdf より
ウェブアプリケーションの脆弱性については、73 件の届出のうち、10 件について修正が完了しました。

えっと…三ヶ月間分の内容よね？ 残り63件ってどうなっているのかしら？
って、しょっぱなから台風の予感がビシバシと襲ってくる中、読み進んでみるわ。

http://www.ipa.go.jp/security/vuln/report/documents/vuln2004q3.pdf より
ウェブアプリケーションについては、19 件の届出について取扱い終了しました。内訳としては、修正を完了したものが10 件、脆弱性を運用で回避しているものが4 件、ウェブサイト運営者により脆弱性が存在しないと判断されたものが5 件です。修正や回避等により、最終的に脆弱性に対処したものは19 件中14 件ですが、取扱い中のものにも、修正完了の報告を受けIPA による修正確認中のものが4 件あります。

とりあえずまず「ウェブサイト運営者により脆弱性が存在しないと判断されたものが5 件」の具体的な内容が知りたいわ。
これって、一歩間違えると「脆弱性だけど修正も面倒だし仕様だって言い張っちゃえばいいから放置しちゃえ」っていう強硬手段が通りかねない発言よ？
このあたりの甘さがやっぱり出てきてるのねぇ、って嘆息しちゃったわ。
「脆弱性を運用で回避しているものが4 件」も疑問。本当に回避できているのかしら？
で、ここまで杜撰だと、「修正を完了した10件」についても疑わざるを得ないわ？


本当に「きちんと修正が完了した」のなら、今後への情報という意味も含めて、脆弱性の「内容」と「原因」と「修正方法」を全てきちんと明記してもよろしいんじゃなくってかしら？
ちなみにあたしは「クロスサイト・スクリプティング」とか「パス名パラメータの未チェック」とかっていう「大まかなジャンル」を聞きたいんじゃないの。もう少し突っ込んだ内容を知りたいのよ？ 大体、そんな大雑把な単語でちゃんと理解できる人間は、ケアレスミス以外ではそういうホールを作らないものなの。そういうホールを作る人間の大半は「理解できてない」か「理解できてるつもりなんだけど理解できていない」のどちらかなの。そういう人間に「どうやったら的確に伝えることができるか」っていう、一番大切なことをきっと何も考えていないんだわ？
で。そんな杜撰な状況で、努力も何もせずにただ「終了した」とか書かれて、どうやって信用したらいいのかしら？
次に気になるのはこのあたりかしら？

http://www.ipa.go.jp/security/vuln/report/documents/vuln2004q3.pdf より
脆弱性を発見された皆様へ
脆弱性を発見した場合は、匿名掲示板などに書き込むことは避け、この届出制度を利用してください。また、届け出た情報は、その脆弱性に関する情報が悪意のある者に利用されることを避けるため、開発者等により対策情報が公表されるまで、公表しないよう、お願いします。

二つほど気になるわ。一つ目は、あたしが前から声高に叫んでいる「どうやって脆弱性を発見するのかしら？」っていうお話。あたしが知る限り、未だに「アタックをせずに発見する方法」って見当たらないし耳にも入ってこないのよね？
まぁ、73件もの報告があったのはある意味画期的だったとは思うんですけれども。その人たちって「どうやってアタックせずに脆弱性を発見」したのかしら？ 是非伺いたいところだわ？
もう一つは「その脆弱性に関する情報が悪意のある者に利用されることを避けるため、開発者等により対策情報が公表されるまで、公表しないよう」の部分。基本的には間違ってないんですけれども。一つは「何時まで待てばいいのかしら？」って疑問。何ヶ月も放置されているのを公にしないのにも、あたしは一定レベルの弊害があると思っているわ。
ついでにもう一つ。「運用で回避」だの「問題ないと判断」だのって場合はどうなのかしら？ あたしが予想するに、公表したら絶対に「業務威力妨害」だのなんだのって騒ぐんじゃないかしら？

http://www.ipa.go.jp/security/vuln/report/documents/vuln2004q3.pdf より
付表 ウェブアプリケーション脆弱性の分類

この表もどうかと思うわねぇ。
ざっと見る限り、ここに出てる内容って全部「高」だと思うわ？
っていうか、「第三者へのDoS攻撃(spmaの中継ってのは思いつかなかったのかしら？)」につながる「メールの第三者中継」や「個人情報の漏洩」につながる「初期パスワードの不備」が深刻度「低」ってのはいかがなものかと思うわ？
企業サイトであることを基準に考える場合、訴訟だのなんだののコストを考えれば「データの改ざん、消去」が可能な「価格等の改ざん」だって十分に深刻なの。
このあたりからも、内容への考察の甘さが漂いまくってるわね。


で。気になるのは、このpdfには「届出73件中、取り扱い完了の19件」にしか言及がされていないの。残り54件はいったいどうなっているのかしら？
それって、IPA「ではなくて」通常のニュースサイトのほうがちゃんと書いているのよね。

http://www.itmedia.co.jp/enterprise/articles/0410/19/news030.html より
脆弱性修正を完了 10件
脆弱性を運用で回避 4件
運営者側が脆弱性ではないと判断 5件
対応進行中 34件
運営者と連絡が取れず、取扱い不能 16件
既知の情報など、脆弱性届出の対象外 4件

上の３件がpdfに載ってるものだとおもうの。
だとすると、まずここで気にしたいのは「対応進行中」の34件。いったいどれだけの時間をかけているのかってのが気になるわ？
連絡が取れない16件は、一番初めにも書いたとおりの話なので、まぁ連絡の仕方とかに気を使って頂戴、って感じなんですけれども。
既知の情報ってのも微妙に怖いわねぇ。取り扱い対象外って、どんな基準で判断したのかしら？


ざっと見て、とりあえず「予想通りまともに機能してない」のがみえみえだわ。まぁ「ないよりは幾分まし」って感じが今はまだするんですけれども。ここで「連絡が取れず取り扱い不能」と「運用側で脆弱性がないと判断」と「運用で回避」に逃げ込む連中が増えたら、それこそ弊害のほうが大きくなってしまうわ？
そういう「当然逃げてくる逃げ道」をどこまで潰して、まともに機能させていくのか。期待は持てないけれども興味はあるわね。
このパターンだと次は来年の２月あたりにまた報告書が出てきそうなんですけれども。どんな内容になっているのかしら？