IPAが脆弱性の通報・告知・公開の体制作りを提言 52
ストーリー by Oliver
CERT/IPA 部門より
CERT/IPA 部門より
lunatic_sparc曰く、"IPAはソフトウエアやWebサイトの脆弱性情報を受け付ける窓口を7月に設置することを公表した。(日経ITProの記事)「IPAからの通知後に,サイトの運営者が何も対策をせず情報漏洩などが発生した場合,サイト側が何も知らなかったと責任を逃れることは難しくなる」という点は一歩前進として評価したい。Webサイトにおける脆弱性発見及び対処プロセスは『そのサイトの利用者(利害関係者)が脆弱性を発見してしまった場合、あるいは疑った場合』が一般的ケースとされていると思われるが、ACCS事件のような『不正アクセス、もしくはぎりぎりの為にする脆弱性チェック』についてどうあるべきかには報告書[pdf]の4.4.1の辺りに記述があり、概ね社会通念に合致したものとなっているようだ。今後、公的ルールについてはパブリックコメントも募集するらしいので一言ある人は応募してみてはどうだろう。"
他の報道 (スコア:2, 参考になる)
- MYCOM PCWEB: 脆弱性情報の流通に慣習法を - 脆弱性の届出、公表などルール化へ [mycom.co.jp]
- ITmedia: 脆弱性情報の告知・公開のルール作りが前進 [itmedia.co.jp]
- @IT: 脆弱性情報はIPAに届け出、ベンダ調整の新ルール策定へ [atmarkit.co.jp]
個人的には、PCWEB と ITmedia の記事が深いところまで書かれていて参考になると思いました。高木浩光氏の日記 (スコア:1)
Re:高木浩光氏の日記 (スコア:0)
スラドにゃ期待してませんと。そうですか。(`_ゝ´)フン
Re:高木浩光氏の日記 (スコア:0)
まあ、妥当かと。 法を侵さず他人に損害を与えず行動すれば問題無い訳で、何故に免責が必要なのかってのがちょっとね。
下手に免責すればバレバレのヘタレクラッカーの逃げ場になってしまい
Re:高木浩光氏の日記 (スコア:1, 参考になる)
報告書によると、
というのがあって、たしかにこういう故意でなく見えてしまったケースは、届出窓口があると有効だと思う(でないと2ちゃんに晒して被害出す奴が出てくる)けど、「違法だけど罰せられない」というのが気にかかります。免責というのかはわかりませんが。Re:高木浩光氏の日記 (スコア:0)
別にこれに限定された事ではなく、大抵の法律ではそうなっておりますが。
罰せられないけど違法 (スコア:0)
「罰はないけど違法は違法だ」
という状況が善良な小市民としては怖い感じがするのですが、
他の法律で、日常感覚的に理解できる同様のケースというのは
何かあるでしょうか。それを聞くと理解しやすそうです。
素直に歓迎 (スコア:1, 参考になる)
てか、現に某プロバイダにセキュリティーホールの連絡したんだけど、 2ヶ月たっても何も対策していないんだよね。
通販サイトの注文ログとかダダ漏れ…イヤ、見てませんよ、想像ですw
#自分が契約してるバイダではないが
2chあたりでスレ立てれば祭りになって当然対策もするだろうけど、個人情報漏出は避けられないし、匿名での連絡じゃないので自分自身がマズーなことになっちゃう。
かといって放置しておくと…あまりにも簡単なので早晩見つかるだろうし…
早く対策しろとツンツンして逆切れされても困るしね。
気になったのは (スコア:1)
まず、内容を見ると、JPCERT/CCに異様な負荷が掛かる気がするのだが、財源については記載されていない。これ、どうなるんだろ?
あと、不特定多数が参加するオープンソースプロジェクトだと、今回の、「対策するまで関係者以外には秘密にする」方式が機能しない。大物については、セキュリティ担当専任者が必要になるのか?
-- Buy It When You Found It --
強制力もないわけで.. (スコア:0, 荒らし)
とは言いながら、これってば「受け口作ったけど、流し先考えてない」と
いうのと、同じではないかな?やはり、脆弱性を持ったサービスを提供した
側に、「対応しなけりゃ銭や会社自身を失うよ」といったことでないと、「
聞いただけぇ、ふーん、ぜーじゃくせーって食べたことないっす」みたいな
ふぁあすとさーばや、開き直るよせふあんどれおんとか、「訴えるもん!」
なサーバーノーガード一つ覚えなえーしーしーえすみたいなのは、後をたた
ないのとちゃいますか?
Re:強制力もないわけで.. (スコア:2, 興味深い)
「ウェブサイト運営者」って言葉が多く使われてたけど
文中にある通り「コンテンツの対外的な所有者」を意味してるようで
実質、運用してる管理会社や開発会社は指さないんですなぁ…
そんな方々に脆弱性の及ぼす影響を正確に把握とか
影響の大きさを考慮した修正をしてIPAに連絡とか
スタンダードにならんと思ってみたりするわけなのですが…
#理想としては良いのだけれど高望みしすぎだと思ったというのが正直な感想
Re:強制力もないわけで.. (スコア:2, 参考になる)
>文中にある通り「コンテンツの対外的な所有者」を意味してるようで
>実質、運用してる管理会社や開発会社は指さないんですなぁ…
対象が「実際に運用されているサイト」だと考えれば妥当でしょう。
通常、管理会社に運用変更を独力で行う実権は無いし、開発者ってのは予めライセンスで謳ってでも以内限り、他人の運用に口出し出来ないわけですし。
運営者であればその点、修正を依頼するなりサイトを閉じるなり代替品に置きかえるなり、対処が可能ですから。
ま、確かに実効率は疑問ではある。
だけども、運営者に「IPAからの通達があった」という事がそれ相応の意味があるって状態になればそれで成功だと思いますが。
#が、その為にはIPAが「それなり」の行動を取らないといけない訳で、 そちらにも疑問があるのは確かですが。
Re:強制力もないわけで.. (スコア:0)
運営責任者か、実担当者か (スコア:1, すばらしい洞察)
従来の、個人が直接通報するしかなかったときは、たしかに運営者に話しても話が通じないということはあったでしょうね。だけど、IPAからの連絡となれば、どこの馬の骨かわからんフザケたハンドル名の人からの連絡のときと違った対応になるでしょう。
当然、運営者の監督の下、管理者とか開発者が対応するんでしょ? それが組織ってもんです。Re:強制力もないわけで.. (スコア:2, 参考になる)
実際、内容的には、現行法や裁判の行方等を検討しつつ、現実的な対応方法を示した物で、(この資料に限るが)三権分立が適確に機能している。
それに、現段階では、セキュリティ関連についての一般的な見解というものが無い訳で、立法したくても具体的項目が作れない、裁判所も判断に悩んでいるのが実態。
今回は、その一般見解となるべき「ガイドライン」を示すことが目標で、これが定着すると、個人情報保護法などに罰則が追加されたり(現法案では発効しても罰則の無い努力目標に過ぎない)、裁判の際の目安になるので、企業側も対策する必要性が生じたりする。
その意味では、確かに「一歩前進」である。
-- Buy It When You Found It --
yasudas絶好調 (スコア:0)
一応聞いてみるけど、なぜそこまで捻じ曲げる必要があるの?
Re:yasudas絶好調 (スコア:2, 興味深い)
ま た y a s u d a s か !
なのだが、同じくあえて釣られてみるテスト。
>>脆弱性を持ったサービスを提供した側に、「対応しなけりゃ銭や会社自身を失うよ」といったことでないと
ここで強制力を持たせるようにするには、現状の参入規制のない状況を改善する必要があります。(もちろん匿名やオープンソースやそれに類するものも影響を受けるでしょう)
こういう議論に必ず出てくる「強制・規制論者」は、以下のことを踏まえて議論を展開する必要があります。『ISPサービス自体』とかなら、通信事業者としての規制が可能ですが、同様のことについて cgi サービスや、cgi コードの提供者にそのような規制が必要なのか、ということが顧みられなければならないでしょう。
#個人的には Windows の品質問題の方が大問題で、それこそ公的権力が強制的に介入すべきプライオリティは高いと思うけどね。
実際問題、サービスやコードを提供することは自由なわけで、自由な流通を支えるのは利用者側の賢い「選ぶ目」、「使い方」でしょう。
と言うと「やっぱり河合容疑者は正しかったんだ」と脳内ショートする人もいるかもしれませんが、他人の管理物を攻撃することの是非とは論点が異なるのでごっちゃにしないよう。
利用者側の啓蒙普及、と言う点では「暮らしの手帳」のような方法が一番望ましいのではないかと考えます。
『テストはするが、自分で買った自分のものに対してテストする』ってことですね。もちろん、このやり方では自社開発のシステムや非オープンなシステムでの提供サービスのテストはできませんが、地道な一歩は「そこから」なのではないかと思います。
「地道はいやだ」、「注目を集めて目立ちたい」では第二、第三の河合一穂が出るだけで、一般社会の目はより厳しくなるだけです。
##なお、このコメントにyasudasuがとんちんかんなコメントを付けても釣られないのであしからず。
Re:yasudas絶好調 (スコア:1, すばらしい洞察)
「これまで一般ユーザーが脆弱性を確かめようとしても,不正アクセス禁止法などの法律に違反すれすれの行為をしなければ調査できなかった。これからはIPAに報告してくれれば,こうしたリスクを回避できるようになる」
ここあたりも、素直に評価出来るのでは無いでしょうか。
Re:yasudas絶好調 (スコア:0)
ファーストポストに対して何らかの規制があった方がいいんじゃないでしょうか。
例えば、ファーストポストだけは:
・一定時間ファーストポストできない、とか
・ACでは投稿できない、とか
・5分以上かけないと投稿受け付けない、とか
・一定カルマ以上じゃないと受け付けない、とか
・一定数以上マイナスモデがついているとだめ、とか
まぁ
強制力? (スコア:0)
そう書いてるのか片鱗も書いてないと無いものねだりでしか
なくなると思うけど?
きちんとやるならまず法を改正してからやれ!(一例)、という意図なら
そう書くべきだ。強制力と言葉で書くのは簡単だが、実体不定じゃ議論には不適だ。
Re:強制力? (スコア:0, フレームのもと)
もし、法が必要なら改正なり作ればよいわけですし、
法以外の手段があるなら、それを採用すればよいわ
けです。
>実体不定じゃ議論には不適だ。
つまり、目的を考えて手段を模索することができないと
いうかたわな方がいるということですね。
Re:強制力もないわけで.. (スコア:0)
Re:強制力もないわけで.. (スコア:1)
未完成にしても、杜撰であるという指摘なんですが、
それは理解できませんか?
イッポゼンシンと、認めているわけなんですけどね。
# つまりは、今起こっていることには、何も影響しない
# という事ですよ。
Anonymous Cowardさんって、文も読めないのかな?
Re:強制力もないわけで.. (スコア:0)
> 今起こっていることには、何も影響しない
> イッポゼンシンと、認めているわけなんですけどね。
両立し得ないことをあんたは言っているわけだが。
全く前進していないのか、
じつはいくらか影響するのか、
どっちなんだよ。
Re:強制力もないわけで.. (スコア:0, フレームのもと)
はぁ?一歩前進したが、実効はないということだよ。
一歩前進だけで全部クリアにするという気違いじみた
妄想を持っているAnonymous Coward って多いのかな?
>全く前進していないのか、
>じつはいくらか影響するのか、
形態を作るが、その過
Re:強制力もないわけで.. (スコア:0)
そういう所はこれから詰めて行けばいいの。受け皿の流し先も、何もかも。
そもそもまだ出来てないんだから、現状に影響するはずがないじゃん。頭悪いね。
Re:強制力もないわけで.. (スコア:0)
まあ、あなたは逆に強制力あったらあったで(以下略
ACCS憎けりゃ法治国家も憎いってか? (スコア:0)
つまり、IPAが気に入らないサイトは全て潰して良い。その判断基準はIPAが勝手に決めて良いって事?
それなら私は現状の紳士協定的ネット環境で脆弱性を持ったサイト山盛りの方がまだマシですな。
少なくとも理不尽に一方的な判断を押しつけられる心配は無い。
Re:脆弱性をどうやって「正しく」見つけるのかしら? (スコア:1, 興味深い)
俺のこのヒトの「興味」には全く同感。
この世に存在する脆弱性発見のあらゆる手段は、
拡大解釈で「不正アクセス」と見なせるものではないですかね?
毎度毎度Office氏関連の議論に戻すのはもう嫌なんですけど、
彼が逮捕されたのは、(a)アクセスした事についてですか?
(b)ダウンロードした事についてですか?
(c)公開した事についてですか?
(b)と(c)を取り締まる法律は現時点では存在しませんよね?
彼が逮捕されたのは「不正アクセス」の疑い、(a)です。
ほとんどの場合、管理者の意図しないアクセスこそが脆弱性であり、
同時にそれは拡大解釈された「不正アクセス」にもなるのです。
アクセスせずに脆弱性を発見できるんですか?
IPAが「不正アクセスの例外」(の社会的根拠)を
作る予定があるのだとすれば、今回の流れは支持できます。
Re:脆弱性をどうやって「正しく」見つけるのかしら? (スコア:0)
> 拡大解釈で「不正アクセス」と見なせるものではないですかね?
いいえ。不正アクセスをせずに、見つけるられる場合もあります。
それがわか
ホントに? (スコア:0)
「指摘の方法が真っ当ならば訴えられない」とかそーゆー次元ではなく?
もう解決している脆弱性問題なら公表できますよね?
参考までに例示して頂けませんか?
# このスレッド具体的な話が無いよね。
Re:ホントに? (スコア:0)
「それって」ってどれ?
Re:ホントに? (スコア:0)
Re:脆弱性をどうやって「正しく」見つけるのかしら? (スコア:0)
>同時にそれは拡大解釈された「不正アクセス」にもなるのです。
こういう事実を無視した『ということにしたい』妄想にプラスモデをつけるのは
つけあがらせるのでやめた方がいいよなぁ。
Re:脆弱性をどうやって「正しく」見つけるのかしら? (スコア:0)
Re:脆弱性をどうやって「正しく」見つけるのかしら? (スコア:1)
だから、あたしの今の暫定的な答えは「無理」になってしまうんだわ。
でも、もし存在するなら「違う答え」を探してみたいの。
だから久しぶりに書き込んだのよ?
それとも、やっぱり「みんなの持ってる答えはお前と一緒だよ、このアバズレ」っていわれちゃうのかしら?
毒婦
Re:脆弱性をどうやって「正しく」見つけるのかしら? (スコア:0)
報告書に書いてあるようだけど。
読んでから書けば?
Re:脆弱性をどうやって「正しく」見つけるのかしら? (スコア:0, フレームのもと)
以降は書かないと思うけど、一番初めだから一度だけ書いてあげるわ。
あたし、想像力のないガキとかただの煽りとか物事を杓子定規にしか見られない連中とか、そういう類の愚か者には一切興味がないの。
覚えておいて頂戴。別に忘れてもかまわないけど。あたしが無視するだけだから。
毒婦
Re:脆弱性をどうやって「正しく」見つけるのかしら? (スコア:0)
具体的に説明せずに「全て」とか言っているだけです。
まず、あなたが具体的に説明しなければ、
あなたの発言には何の価値もありません。
Re:脆弱性をどうやって「正しく」見つけるのかしら? (スコア:0)
それはバカだからか、無能だからか、うそをついているか。
少なくともACCSのケースでは不正なアタックそのものを実施しなくても脆弱であることは指摘来たはず。
(まぁ、フルパスでのファイル指定で表示すべきファイルを指定するなんてのは愚の骨頂だが)
他のケースでも、多くは「怪しい」と思ったところをつついているは
Re:脆弱性をどうやって「正しく」見つけるのかしら? (スコア:1)
> それはバカだからか、無能だからか、うそをついているか
恐らくは「無能だから」よ。だから有能な方に、方法がないかどうかを聞いてみたいんですもの。
まぁバカって方をチョイスしてもいいわ。どっちも大差ないんですもの。
> 実際に穴が開いているかどうかはつつかなければわからないとしても、本当に注意喚起が目的ならば、今回のような窓口があればそこに通報することで目的は果たせずはず。
あなたのおっしゃる「目的」って一体何なのかしら?
あたしがもし通報をするのだとすれば、その目的は「脆弱性を(可能な限り速やかに)修正していただく」ことだし、それはとりもなおさず「脆弱性があることをきちんと理解していただく」ことだわ。そうして「脆弱性があるのにそれに対して逃げるような態度をとらせない」ことなの。
そうして、あたしが見て、考える限りにおいて、企業側の逃げ道ばかりが大量に存在して、その逃げ道をふさいで追い詰めるような方法が存在しないわ。
だから、あたしにとっての目的は、これでは達成できない、って考えてるの。
そうねぇ、もう少し細かく。
「見た目どう見ても怪しい」で、確かに通報は出来るわ。でもそれって企業側が「大丈夫、安全だ」って言い張った場合、それがたとえ嘘だとしてもそれ以上の突っ込みは出来ないわ。だって「実際にその脆弱性が有効であるかどうかは、実験をしていないから分からない」んですもの。限りなく「そうに決まってる」と思っても、それは机上の空論だわ。突っぱねられてしまえばそれまでよ?
「少なくともACCSのケースでは不正なアタックそのものを実施しなくても脆弱であることは指摘来たはず」ってのは、ある側面で事実なの。「指摘は」できるわ。でも、例えばそれで先方が「チェックもせずに"大丈夫だ"と建前だけで言い張ってきた」場合にどうするのかしら?
そういう連中を追い詰めるために必要なのは「実際にクラック出来た」事実であり、その事実を証明するための証拠だわ。
そうして、その事実を作り上げ、証拠を得た時点で、現在は全て違法になるの。
わかるかしら?
もう少し、社会の裏側とかその辺のことを考えてみたほうがよろしくってよ?
社会の、とくにそういう連中はまず始めに物証を欲しがるわ。どんなに理論上正しくても「現実が伴わなければ」何の意味もないのよ。
ついでに。
> 窓口ができて都合が悪いのは功名心や達成感が満足されないからでしょ
別に功名心も達成感もいらないわ。達成感はほかでいくつでも満足できるし、功名心があるんなら、こんなキャラで物書きなんかしてないわ(素顔は野郎臭いホモよ、あたし。こんなキャラ、顔付きでなんてとてもさらせないわ…男が出来なくなっちゃうもの)。
窓口が出来ることが都合が悪いんじゃないの。「窓口が出来ているっていう事実を盾に実際にはより状況が悪化する可能性がある」ことがいやなの。
そうね。「Subjectに適切な文字を入れればDoSに近いようなSPAMでも合法だから問題ない」って騒ぐ連中に対する嫌悪に近いかしら?
きちんと有効か、ないしせめてもう少しマシな窓口なら歓迎するわ。まぁ「ソフトの脆弱性」の窓口としては機能しそうだから、そっちに関しては「頑張って頂戴」って思ってるし。
> 正義の味方ヅラ
あらやだ。正義の味方? 笑わせてくれるわ。あたし、そんなに「正しい女」に見えるかしら?
あたしは正義とか正しいとか善とか、そういう概念にはまったく興味がないの。おあいにく様だわ。あたしはもっと身勝手な女なの。
だから、あたしと、あたしの周りの身内が巻き込まれるようなことだけはごめんだわ、って理由で騒いでるだけなのよ。
よろしくってかしら?
毒婦
Re:脆弱性をどうやって「正しく」見つけるのかしら? (スコア:1)
ってことだったので、出直してきたわ。
…他の部分へのコメントは全てとっぱずしてそこの部分だけコメントをいただけるなんて…分かりやすいわねぇ。
そうねぇ。まずは質問からかしら?
あたしは「少なくとも企業側が「それは故意にアタックをした」と言いがかりをつけることが不可能な方法が分からない」という点において、紛れもなく無能だと思うわ。それはつまり「企業側が「故意にアタックをした」と言いがかりがつけられないような方法を知っている」有能な方と比較して、のお話。
ここまではよろしくってかしら?
で。
> それが人にものを尋ねる態度か?
ということは、あなたはご存知なのかしら? ご存知なら、是非具体的な方法を教えていただきたいわ。
ただ、気になるのが、過去に似たような発言を「リアルで」していた人がいる、ってことかしら?
その人はあたしの質問に対して「できるはずだ」としか言わず、実際に「どうやるのか」という部分はまったく言及しなかったわ。
あたしと、あたしの周囲の友人の共通見解は「言及できなかった」。つまり、有効な方法なんて知らなかった、っていうところに落ち着いたの。
状況がそれに近いだけに、ちょっとだけ不安を覚えるわ。
あなたがもし「有能」なら、是非教えていただきたいわ?
正直、あの文章から、あたしは未だに「有効な脆弱性の発見方法」を見つけることが出来ないでいるの。あたしが知っている限り、あたしの周囲のエンジニア系も法律の専門家も全滅だわ。
せっかく「窓口」があるのよ? それを有効に使えないなんて悔しいと思わないかしら?
あたしは歯噛みするほど悔しいわ。だから、方法を模索していきたいの。もし「現時点で方法がない」なら、それを騒ぎ立てて状況を改善していきたいの。
ご理解いただけるかしら?
> だったら、こんなフザけた書き方するなよ。
あら? べつにフザけてなんかいないわ。口調は確かに女言葉(正しくはオネェ口調)ですけれども、別に礼を失した口調ではないと思うんですけれども、どうかしら?
それよりは、あなたの伝法な口調のほうがよっぽど気になってよ?
少なくとも面識がなく、特にやり取りも多くないこの状況でそういった口調は、あまり好まれないと思うんですけれどいかがなものかしら?
> はてなもやめろ。
うふ。い・や・よ。
あなたにそんな口調で命令されるいわれはないわ。
相手を攻めるときは、もっと色々と手練手管を尽くすものよ。直接攻めるときは大胆に。時には焦らすのも女の嗜みだわ。
夜の生活と一緒ね。
毒婦
Re:脆弱性をどうやって「正しく」見つけるのかしら? (スコア:0)
この手のを相手して餌を上げてる奴も同罪。そんな基本もわからんのか・・・。春休みも終わったというのに。
#それともこれが釣られたという奴か?(w
Re:脆弱性をどうやって「正しく」見つけるのかしら? (スコア:0)
不可能である必要はないでしょう。(程度問題を100%問題に摩り替えるのは典型的な詭弁の一つで、高級官僚が責任回避するときによく使う手口です。)
ふざけた口調や名前で通報してくる人には、言いがかりをつける企業も少なくないかもしれませんが、IPAが代わって連絡をとるようになることで、そうした態度に出る企業はかなり少なく
Re:脆弱性をどうやって「正しく」見つけるのかしら? (スコア:0)
Re:脆弱性をどうやって「正しく」見つけるのかしら? (スコア:1)
というか、どうして「あたしがアカウントを持っている」って思ったのかしら?
大体、本気で匿名で書くんなら、毒婦って名前も書かなければ、こんな独特の文体でも書かないわ。
ついでに、別にあたしはACが卑怯だとは思わないわ。
でもまぁ、たまに書き込むことも有りそうだし、せっかくだからアカウントを作ってみたわ。別に卑怯だっていわれるのは気にならないんですけれども、単純に「ACだとホンの少量しかコメントがかけない」みたいなので。
ま、アノ時に突っ込む穴間違えそうなあわてん坊さんには「気をつけて発言したほうがよろしくってよ?」って書いておいて差し上げるわ。
せめて「アカウントくらいもってないんですか? もし持ってるのにACでコメントしているんだとしたら最低の卑怯者だね」ってくらいの書き方にとどめておくべきだったわね。
毒婦
Re:脆弱性をどうやって「正しく」見つけるのかしら? (スコア:0)
Re:脆弱性をどうやって「正しく」見つけるのかしら? (スコア:0)
Re:脆弱性をどうやって「正しく」見つけるのかしら? (スコア:0)
なぜ簡単に逃げられたらNG?
勝手に縛りを入れて無理だ無理だと喘いでるだけに見えるんだけど。
# M?
究極的な目的は[脆弱性を持つサイトを無くす]事にあるんだから、逃げ打てようが何しようが、脆弱性が無くなってユーザに及ぶ危険が無くなれば、それでいいのよ。
ワンタイムの話であれば確かに脆弱性があった事実を隠して逃げおおせるような団体も出てくるかも知れないけどさ、何度もやらかすんであれば絶対晒し上げられるしヲチャーが付くし、そんなに潔癖に完璧にやる必要も無いと思うぞ。
また、脆弱性を指摘する