独立行政法人 情報処理推進機構(IPA)から突然のメール

 

独立行政法人 情報処理推進機構(IPA)から突然メールがありお宅のサイトには脆弱性があるとの指摘頂きました。この様なことあるのでしょうか?Whitehackerzとしてお恥ずかしい限りです。ご指摘は真摯に対応致しますが、突然の連絡にびっくりしました。取りあえず連絡を欲しいとのことなので、返信しました。この様な連絡受けた経験ある方いらっしゃいますか?以下、頂いたメール全文です。担当者様のお名前やメール等は伏せさせて頂きました。

##################################################################

Name : 独立行政法人 情報処理推進機構(IPA)
Email : vuln-contact@ipa.go.jp
件名: 【IPA#95377573】 ウェブページのセキュリティ上の問題につきまして

内容:
エバブラメディアサービス株式会社
「WhiteHackerZ」
ウェブサイトご担当者様

突然のご連絡失礼いたします。
独立行政法人 情報処理推進機構(IPA) 技術本部 セキュリティセンター
の●●と申します。

IPA では、情報セキュリティ対策の一環として、経済産業省告示に従い、
一般の方や研究者の方が発見された、ウェブページのセキュリティ上の
問題点の届出を受けつけ、ウェブページの管理者の方に連絡する業務を
行なっています。

この度、下記ウェブページのセキュリティ上の問題につきまして届出が
ありました。この問題に関する詳細情報を運営者様へご連絡したいので、
通知先および通知方法を確認させて下さい。

対象のURL:
http://www.hackerschool.jp/

お手数ですが 5 営業日を目処に本メールに返信(件名に IPA#95377573 を
記載)する形で、通知先および通知方法を連絡頂きたくお願い致します。

■1.通知先について

詳細情報は電子メールにて通知させて頂きます。
適切な連絡先をご提示下さい。
————————————————————
所属/部署 :
氏名 :
メールアドレス:
電話番号(*) :
————————————————————
* PGP 公開鍵による暗号化を希望される場合、必須ではありません。

サイトの管理等を外部業者に委託されている場合も、通知先は上記サ
イトの責任者である運営者様としています。運営者様にて問題の詳細
情報を確認頂いた上で、貴セキュリティポリシーや委託先様との契約
に則り、適宜運営者様から委託先様へ連絡頂きたくお願い致します。

IPA「脆弱性関連情報の届出における個人情報の取扱いについて」
http://www.ipa.go.jp/security/policy/privacy.html

■2.通知方法について

セキュリティ上の問題という情報の性質上、できるだけ安全に情報を
通知したいと考えております。下記より、ご希望の通知方法をご選択
下さい。

1) PGP 暗号化方式
この場合、貴窓口の PGP 公開鍵を用意頂く必要があります。
貴窓口の PGP 公開鍵を本メールに返信する形でご返送ください。

IPA/ISEC の PGP 公開鍵について
https://www.ipa.go.jp/security/pgp/index.html

2) パスワード方式
ファイルにパスワードをかけてお送りします(拡張子 .exe)。
パスワードは、安全のため電話でお知らせ致します。

実行ファイル(拡張子 .exe)の受領や展開が難しい場合は、その旨
をご連絡下さい。その場合は、パスワード付 zip ファイル形式等
の別の方法で送付させて頂きます。

■3. 本件に関する問い合わせ先

IPA「脆弱性関連情報の届出関連 FAQ」
http://www.ipa.go.jp/security/vuln/faq.html

IPA(独立行政法人 情報処理推進機構) 技術本部 セキュリティセンター
業務時間:9:30~12:30 および 13:30~18:15
本件担当:●●
メール :xxx-xxxxxxact@ipa.go.jp
電話番号:03-5978-7537

以上、よろしくお願いいたします。

【背景と制度の概要について】

近年、ホームページのセキュリティ上の問題の悪用による改ざんや個人
情報の漏洩、ソフトウエア製品のセキュリティ上の問題を悪用したコン
ピュータウイルスなどの被害が増加しています。
経済産業省では、このような問題への様々な対策を進めています。
その一環として、2004 年 7 月に、ホームページやソフトウエア製品に
セキュリティ上の問題が発見された場合、その問題を悪用されホームペー
ジ運営者や一般利用者が被害にあう前に、適切な対策をとることができ
るようにするための制度を、経済産業省告示の形で施行しました。
IPA は、経済産業省の告示に基づき、一般の利用者や研究者が発見され
たホームページやソフトウエア製品のセキュリティ上の問題の報告を受
付けております。ホームページのセキュリティ上の問題につきましては、
ホームページの管理者の方に、その問題をお伝えし、問題の修正をお願
いしております。
本制度に関しては、以下のページをご参照ください。

経済産業省「情報セキュリティに関する政策、緊急情報」
http://www.meti.go.jp/policy/netsecurity/vulhandlingG.html
経済産業省告示「ソフトウエア製品等脆弱性関連情報取扱基準」
http://www.meti.go.jp/policy/netsecurity/downloadfiles/vulhandlingG.pdf
IPA 「脆弱性関連情報に関する届出について」
http://www.ipa.go.jp/security/vuln/report/index.html
IPA 「脆弱性関連情報の取扱い」脆弱性関連情報の取扱い
http://www.ipa.go.jp/security/vuln/index.html

------------------------------
脆弱性関連情報に関する連絡を行う際に、IPA では PGP 公開鍵
による暗号化を推奨しています。
------------------------------
独立行政法人 情報処理推進機構 (IPA)
技術本部 セキュリティセンター
Mail xxxx-xxxxact@ipa.go.jp
Web https://www.ipa.go.jp/security/
PGP 6182 3D0E 6030 CE5A 002A DE70 4EAC 9C62 59AA 7BEB

===============
送信元IPアドレス : xxx.xxx.xx.xx
受付時間 : 2012-09-06 15:34:56