2004年10月19日(火) 13時05分
課題は「認知不足」、開始から3カ月を経た脆弱性届出制度(ITmediaエンタープライズ)
この制度が広く認知されればされたで、今度はそれを逆手に取った詐欺が登場する可能性もある、と苦笑した早貸氏 写真:ITmedia
|
情報処理推進機構(IPA)とJPCERT コーディネーションセンター(JPCERT/CC)が、ソフトウェアやWebアプリケーションに存在する脆弱性情報の届出制度を開始したのは今年7月のこと。脆弱性情報の悪用を避けながら、ベンダーなどと連携して対応を進め、エンドユーザーに迅速かつ正確に対策方法を提供していくことが目的だ。
開始以来3カ月が経ったこの制度の運用状況がこのほどまとめられ、公開された。
これによると、7月8日から9月30日までの約3カ月間にIPAに寄せられた脆弱性情報は、ソフトウェア製品に関するものが19件、Webアプリケーションに関するものが73件で、計92件である。
ソフトウェア製品の脆弱性への対応状況は以下のとおりだ。
対応状況 件数
対策を完了し情報を公表 3件
開発者側が脆弱性ではないと判断 1件
対応進行中 12件
既知の情報など、脆弱性届出の対象外 3件
この枠組みで届出がなされ、対策が完了したソフトウェア脆弱性は、先日情報が公開された「ウイルスバスター コーポレートエディションの脆弱性」のほか、グループウェア製品「desknet'sの脆弱性」や「SSL-VPN製品におけるCookieの脆弱性」の3つだ。中でもSSL-VPN製品の脆弱性については、US-CERTや英NISCCといった海外のCSIRTと連携し、海外ベンダーとの間でも調整を行ったという。
また、今回公表された数には含まれていないが、いわゆるソフトウェア製品だけでなく、情報家電に存在する脆弱性についての届け出もあった。先日報じられた、東芝のハードディスクレコーダのアクセス制御機能に問題があり、踏み台化されてコメントスパムを送りつけてしまうという脆弱性がそれだ。
脆弱性情報の調整作業の前提として、JPCERT/CCの「製品開発者リスト」への登録が必要になる。「これまで登録はソフトウェア開発者が中心だったが、今後はネット家電の製造者にも登録してほしい」と、IPAセキュリティセンターの早貸淳子氏は述べ、より幅広い開発者の参加を求めた。
●コミュニケーションが取れない?
一方、Webアプリケーションの脆弱性への対応状況を見ると、脆弱性以前の課題が浮かび上がってくる。
対応状況 件数
脆弱性修正を完了 10件
脆弱性を運用で回避 4件
運営者側が脆弱性ではないと判断 5件
対応進行中 34件
運営者と連絡が取れず、取扱い不能 16件
既知の情報など、脆弱性届出の対象外 4件
こうしてみると、決して少なくない数が「取扱い不能」に分類されていることが分かる。脆弱性の修正に真摯に対応しているWebサイト運営者がいる一方で、運営者と連絡が取れず、脆弱性修正のためのコミュニケーションを始めることができない、という状態が発生している。
かつて、セキュリティ脆弱性の問題があまり知られていなかったころ、JPCERT/CCが問題の修正を依頼したところかえって逆切れされたというケースがあった。今の「取扱い不能」の背景にも、脆弱性届出制度の認知不足があるようだ。加えて「オレオレ詐欺」「請求書詐欺」や「フィッシング詐欺」と、さまざまな形の詐欺が横行していることも、サイト運営者側の警戒心を高めている。
「電子メールで連絡が取れず、今度は電話をかけると『詐欺ではないか』『何かのセールス?』と勘違いされ、そもそもコミュニケーションを始めることができない」(早貸氏)。もっともらしいことを言えば言うほど疑われてしまうという現状があるという。
Webアプリケーション運用者の多様さも、その一因になっているようだ。IPAによると、脆弱性が指摘されたWebサイトの運用者の属性は、企業から個人事業主、地方公共団体までさまざま。一元的な対応が難しく、中には担当者さえ置いていないサイトもあるという。
脆弱性修正以前のこうした問題を解消するには、制度の認知度を高めていくしかない。早貸氏によればこうした状態は、「当初から予測していたこと」ではあるが、粘り強く対応に取り組むともに、認知度の向上に務めていくという。
IPAではWebサイト運営者に対し、窓口の明確化とともに、IPAからの連絡が入った場合の協力を求めている。詐欺防止策の基本でもあるが、IPAからの連絡かどうか疑わしい場合には、メール(vuln-ing@ipa.go.jp)もしくは電話(03-5978-7527)で折り返し確認することができる。
なお、これまでのところWebアプリケーションの脆弱性として多く指摘されたのは「クロスサイトスクリプティング」や「パス名パラメータの未チェック」といった項目だ。当初、脆弱性調査の作業が不正アクセス禁止法に抵触するケースもあるのではないかという懸念があったが、「可能性の段階で届出してもらえば、あとはIPA側で調査する」(早貸氏)という。
また、制度発足時の目的の1つだった、脆弱性の種類および対応日数の統計化については、若干母数が足りない状態。まだしばらく蓄積が必要そうだ。
●JVNにも改善を
IPAとJPCERTでは、この脆弱性情報届出制度と並行して、脆弱性情報およびベンダーの対応状況をまとめたWebサイト「JP Vendor status Notes(JVN)」を運営しているが、このサイトについても改善が必要という見方だ。
「今はJVNに情報を載せて、見に来るのを待っているという状態だが、それでは不十分という意見がある。ユーザーが必要な情報をすばやく入手できる、使い勝手のいいデータベース構築に取り組みたい」(JPCERT/CCの大林正英氏)。また、JVNに掲載される予定の「製品開発者リスト」への登録数もまだまだ少ないことから、ベンダーへのリーチを広げ、登録を求めていく。
脆弱性情報を隠さず真摯に対応する透明度の高い企業である、という意味で、「JVNにベンダーの名前が載っていることが、『協力している』『開示している』と評価されるようになってもらいたい」(早貸氏)。
http://www.itmedia.co.jp/enterprise/ (ITmediaエンタープライズ) - 10月19日13時5分更新
http://headlines.yahoo.co.jp/hl?a=20041019-00000024-zdn_ep-sci