IPAに受理されない脆弱性

IPA脆弱性関連情報を受け付けて、(JPCERT/CCに通知してJPCERT/CCが)製品開発者に連絡するという仕事をしている(噂によると専任の人がいるわけではないらしい)。どういう問題が脆弱性として受理されるかはIPAが公開している脆弱性の一覧を見ればわかるけど、どういう問題が受理されないかは公開されないので、私が報告して受理されなかった問題をまとめてみた。脆弱性ではない問題が報告されてIPAの手間を増やすリスクより、脆弱性が報告されないリスクのほうが高いだろうから、迷ったら報告するべきだとは思う。ちなみに、脆弱性ではないということで受理されなくても、望ましくない実装なら開発者に通知してくれる。

IPA脆弱性の定義は、

脆弱性とは、ソフトウエア製品やウェブアプリケーション等において、コンピュータ不正アクセスやコンピュータウイルス等の攻撃により、その機能や性能を損なう原因となり得るセキュリティ上の問題箇所です。
なお、ウェブアプリケーションにおいて、ウェブサイト運営者の不適切な運用によって、個人情報等が適切なアクセス制御の下に管理されておらずセキュリティが維持できなくなっている状態も含みます。

http://www.ipa.go.jp/security/ciadr/partnership_guide.pdf

アップデーターを検証していない

2011年7月に報告。
あるアップデート機能付きのソフトが、アップデーターをHTTPでダウンロードしていて、さらに正規のアップデーターかどうかの検証もしていなかった。DNSを攻撃者が変更したりしていたら怖いと報告したけど、それはソフトの脆弱性ではなくネットワークの問題とのことで、不受理だった。このソフトの場合、アップデート前にアップデートするかどうか尋ねられるので、信用できないネットワークに繋いでいる間はアップデートしないことで自衛できる。自動的にアップデートされるソフトだと、また違ったかもしれない。

ユーザー認証が無いサイトのクロスサイトリクエストフォージェリCSRF

2012年10月に報告。
遠隔操作事件CSRFで犯行予告を投稿させた事件もあったので、報告した。ユーザー認証が無いので誰でも投稿できるし、ウェブサイトにIPを記録する機能があってももともとIPは書き換えることができる(プロキシ?)とのことで、不受理だった。

ウェブサイトの管理者と連絡が取れない場合

2013年2月に報告。

  • 届出情報
  • 当該サイト
  • Whois

のどこにも管理者の連絡先が無いと無理らしい。IPAだからといって、代理公開されているWhoisの実際の管理者を調べたりはできないらしい。

IEにASLRが無効なDLLを読み込む


最近のIEWindowsにはASLRという機能が備わっていて、万一IE脆弱性があっても攻撃がしづらくなっている。ASLRが無効なDLLを読み込むIE拡張機能があって、この機能が台無しになっていたので、報告した。単体での攻撃はできないということで、不受理だった。