PR

 ソフトウエアやWebサイトの脆弱性情報を公開しているJapan Vulnerability Notes(JVN)は2018年3月中旬、脆弱性のあるソフトウエアの開発者と連絡が取れないとして、該当するソフトウエア6製品の使用を中止するよう呼びかけるとともに、その脆弱性情報を公開した。

連絡が取れない脆弱なソフトウエアに「連絡不能」マークを付けて利用中止を呼びかけるJVNのWebページ
連絡が取れない脆弱なソフトウエアに「連絡不能」マークを付けて利用中止を呼びかけるJVNのWebページ
(出所:JVN)
[画像のクリックで拡大表示]

 通常JVNでは、ソフトウエアの修正プログラム(パッチ)などをベンダーが用意してから脆弱性情報を公表する。対策がない状況で脆弱性情報を公開すると、その脆弱性を狙った攻撃が出現する恐れがあるからだ。今回のように、パッチなどが存在せず、対策が「使用中止の検討」しかないソフトウエアの脆弱性情報を公表するのは異例のことだ。なぜこのような状況になったのか。その舞台裏を解説する。

一般ユーザーから脆弱性情報を募る

 ここでの脆弱性とは、セキュリティ上の欠陥(弱点)のこと。脆弱性を悪用されると、細工が施されたWebサイトやファイルを開くだけで、ウイルス(マルウエア)に感染する恐れなどがある。

 ソフトウエアやWebサイトの脆弱性は、ソフト開発者やWebサイト運営者といった当事者以外の一般ユーザーが見つけることは少なくない。とはいえ、一般のユーザーが開発者や運営者に直接報告するのはハードルが高い。

 そこで、経済産業省が2004年に制定した告示「ソフトウエア等脆弱性関連情報取扱基準」を踏まえ、国内のセキュリティ組織である情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は、脆弱性情報の報告を受ける「情報セキュリティ早期警戒パートナーシップ」(以下、早期警戒パートナーシップ)を2004年7月に開始した。

 早期警戒パートナーシップとは、ソフトウエア開発者(ベンダー)やWebサイト運営者、脆弱性の発見者、IPAやJPCERT/CCなどの組織、電子情報技術産業協会(JEITA)や情報サービス産業協会(JISA)といった業界団体が協調して脆弱性情報を適切に取り扱おうという取り組みである。

早期警戒パートナーシップにおけるソフトウエア脆弱性情報の取り扱いの流れ
早期警戒パートナーシップにおけるソフトウエア脆弱性情報の取り扱いの流れ
(出所:IPA)
[画像のクリックで拡大表示]

 具体的には、脆弱性の発見者が、外部に漏らすことなくIPAに届け出る(1)。そして、IPAはJPCERT/CCに情報を通知(2)、JPCERT/CCはソフトウエア開発者に報告して調整を行う(3)~(5)。開発者はパッチや修正版といった対策を作成し(6)、開発者やJVNなどが脆弱性情報や対策方法を公表する(7)~(9)。

 IPAでは、脆弱性届け出窓口のWebページを用意していて、誰でも報告できるようにしている。

IPAの脆弱性届け出窓口のWebページ
IPAの脆弱性届け出窓口のWebページ
(出所:IPA)
[画像のクリックで拡大表示]