正しい脆弱性情報通知の仕方

 

皆様方におかれましては、とあるサイトの脆弱性を発見した場合どのように対処するのかお分かりになって無い方もいらっしゃるのでは?と思い今号は『正しい脆弱性情報通知の仕方』を皆様へお伝え出来ればと思います。

そもそも脆弱性とは何ぞやですが、コンピュータ用語で言う所の脆弱性を改めてwikipediaで調べて見ると以下の事だと記載されております。

セキュリティホール (英: security hole) とは、コンピュータソフトウェアの欠陥
(バグ、不具合、あるいはシステム上の盲点)のひとつで、本来操作できないはずの操作
(権限のないユーザが権限を超えた操作を実行するなど)ができてしまったり、
見えるべきでない情報が第三者に見えてしまうような不具合をいう。
ハードウェアおよびそれを含めたシステム全般の欠陥を指すこともある。
このような欠陥は古くから存在したが、特に問題視されるようになったのはインターネットの
発展に伴い、セキュリティホールがネットワークを介して容易に攻撃されうる状態になっている
からである。原因としては、プログラムのコーディング間違いや、システムの設定間違い、
システム設計上の考慮不足などによる。
脆弱性は、英語の vulnerability の日本語訳である。この分野での意味は「弱点」であり、
セキュリティホール(安全性欠陥)と類似している。
ただし、セキュリティホールがより具体的な欠陥を指す傾向があるのに対して、
脆弱性は欠陥だけではなく、たとえ意図した(要求仕様どおりの)動作であっても、
攻撃に対して弱ければ、つまり「弱点」があれば用いるという点が異なる。
たとえば、災害や、悪意のある者がパスワードを管理者から聞き出してしまうような攻撃
(ソーシャルエンジニアリング)といった、原因がコンピュータシステムだけに収まらない弱さ
に対しても用いられる。また、ハードウェアおよびそれを含めたシステム全般の欠陥や弱点については脆弱性のほうが好まれる。
セキュリティホール(wikipediaより

とあります。これまでは、その情報をIPAに通知する事が一般的ではありましたが、そもそも只のWEBサイト程度であれば脆弱性が発見されましたという通知を受け取りたくない場合も存在しますので、ここでは脆弱性を指摘する側も指摘される側も快適・安全にやり取りが行えるように我々が間に入ると言う方法を公開します。尚、あくまで脆弱性のあるサイトが中小企業や個人事業主または個人である事を大前提とします。

~正しい脆弱性情報通知の仕方~

①脆弱性を発見した方は、当学院へそのサイトを通知(脆弱性内容は必要ありません)

②そのサイト運営主へ我々から『当学院の生徒から~貴方のサイトに脆弱性~どうしますか?』と手紙若しくは電話若しくはメールします。

③先方が情報取得を希望すれば発見者に教えますから直接やり取りしてまらいます。また、希望されない場合はそのまま放置にまります。

④直接やり取りして頂いた後作業終了時に当学院へお知らせ下さい。学院から改めてお礼の連絡を入れます。

以上が流れとなっております。
それでは以下細かく見て行きます。
②について・・・

①により脆弱性の発見通知を受けた当学院は②へ進みます。
そもそも、脆弱性のあるサイト運営者からすれば、脆弱性?はて?(運営を外注しておったり、そもそも社内にそういう事が分かる人間がいない場合も)と言う事も多いのが実情です。そこへ、鬼の首取ったように危険です!と訴えても何が危険かわかりませんし、やななければどうなるのか分かって無い人に上から目線で言ったところで意味ありません。
また、脆弱性を直すのも直さないのも運営者の勝手でありますから『カツカレーを食いたい人に無理やりめんたいご飯を食えと言うのは』??????であります。
という事でまず安全快適に脆弱性情報を受け取ってもらう事が最重要課題であります。
これには当然危険性の認識をしてもらうという事も大きく含まれております。
発見した事について我々が親切・丁寧に誠意を持ってご理解頂けるよう接触を図ります。
ここで、重要な事は怒りの矛先が発見者に向かない様に(逆切れされずに訴えられない様に)お膳立てする事です。一歩間違うと訴訟沙汰になりかねないので、ここは最重要項目と捉え学院の持てる全ての誠意でお話致します。従いまして場合によっては(近ければ)直接足を運ぶ事も辞さない構えで臨みます。そこで晴れて了解を得て情報を欲しいとなった場合②へ進みます。尚、後から発見者また当学院へ危害が加わらない様に以下の書類をサイト運営者より頂きます。これにより安心・安全に話を進める事が出来ます。断られた場合はIPAにでも言ってください。

③先方の連絡先や担当者名をお伝えしますので、発見者である貴方様は直接、誠意を持って親切・丁寧に脆弱性情報をお知らせ下さい。また、一方的に通知するのではなく『見つけてしまった責任』もありますから、先方が事情等で対応出来ない場合はより細かく教えてあげる事が肝心です。また、運営者にIT担当が一切いない場合は外注でしょうから、その外注先とのやり取りになります。その場合お金払って作って貰ったサイトに脆弱性があるなどと言われて運営者はお怒りでしょうから、運営者のその怒りを貴方が代わりにその技術力を持って外注先にきちんとお伝え下さり今後この様な事がなくなるように指導お願いします。
④発見者は③終了後に速やかに当学院へお知らせ下さい。学院からも協力のお礼を致します。

以上が正しい脆弱性情報通知の仕方です。
寝耳に水な状態の脆弱性のあるサイト運営者は数多くいますので、これらを誤解の無いように伝えて、心のケアまで考える事こそが即ち多くのサイトを助ける事につながり、それにより悪事を未然に防ぐと言う事になります。

セキュリティ界によくある上から見下した既存のシステムでは全てのサイトを安全にという事ができますでしょうか?大企業がやるのは当たり前です。
個人・個人事業主・中小企業にきちんと啓発していくことがインターネット界の未来へと繋がるのです。

※尚、このサービスは明日2012/9/28午前11より受付開始致します。
誤解がないよう申し上げますが、添付画像の申し込み・同意書もらうまでは発見者の氏名等の個人情報は明かしませんし当学院には最後まで明かさなくて結構です。尚、運営者の同意が得られれば運営者にも個人情報を明かさなくていいのではないでしょうか?