ウェブサイト運営者は、ウェブサイトのウェブアプリケーションの脆弱性関連情報について、通知を受ける立場にあります。この段階ではウェブサイト運営者は以下の作業を行います。
1、脆弱性関連情報の適切な担当者への受け渡し
2、通知を受領した旨の返信
3、IPA/発見者との連絡手段の確立(窓口の一元化、暗号化メールの使用、返答期限の設定、連絡記録の作成)
4、組織内の対応体制の確認(担当者、報告先、報告内容、意思決定プロセス)
5、SI事業者への作業依頼を行うかどうかの判断
6、発見者と直接情報交換を行うかどうかの判断
7、IPA/発見者への確認(当該脆弱性を知る人は誰か、脆弱性関情報が今後公表される可能性と時期 等
通知はIPAがウェブサイト運営者に通知してくる場合と、発見者がウェブサイト運営者に直接通知してくる場合の2つに大きく分けることができます。以下にそれぞれの場合を示します。
いずれの場合についても、ウェブサイト運営者は通知を受け取った旨の返信を速やかに行うように努めて下さい。
IPAから連絡を受ける場合の対応
ウェブサイトに関する脆弱性関連情報が発見者からIPAに届け出られた際には、IPAからウェブサイト運営者に通知を行います。IPAからの通知は主に電子メール(vuln-contact@ipa.go.jp)を利用し3段階で行われます。
第1段階:IPAは脆弱性の可能性があるウェブサイトに記載された連絡先アドレス宛にメールを送ります。このメールでは脆弱性の可能性があるウェブサイトのURLを知らせますが、脆弱性の詳細な情報は送りません。ウェブサイト運営者はより、詳細な情報を受けとる連絡先を記載したメールをIPAに返信してください。
第2段階:ウェブサイト運営者は示した対応窓口アドレスに宛てた電子メールで、今後の連絡メールに用いる暗号化について確認します。
第3段階:ウェブサイト運営者は示した対応窓口アドレス宛の電子メールでより詳細な脆弱性関連情報を通知します。脆弱性関連情報は主に、技術的な情報で脆弱性の種類や現状から想定されるリスク等の情報を含みます。IPAから詳細情報を受け取った後には、受領した旨をIPAに返信してください。IPAに脆弱性関連情報を通知した発見者の名前はウェブサイト運営者には通知されません。しかしながら、調査などでウェブサイト運営者が希望にし、発見者もこれに同意した場合には交換されるすべての写しをIPAに提供することを条件に脆弱性関連情報の詳細に関して発見者と直接情報交換を行うことも選べます。
発見者から直接連絡を受ける場合の対応:発見者がIPAを介さず直接ウェブサイト運営者に脆弱性関連情報を通知してくることがあります。この場合は、発見者と誠実な対話に努めるようにしてください。改めてIPAに届け出るように発見者に求めるという選択もあります。脆弱性関連情報を通知された場合には、以下の情報が含まれているか確認して、IPAか発見者に問い合わせをします。
1、脆弱性関連情報を既にIPAや他者に通知したかどうか
2、脆弱性関連情報を発見者が公表する意思、公表手段と予定する時期
ウェブサイトの運用についてSI事業者に依頼している場合、あるいは通知を受けたもののウェブサイト運営者自身による対処が困難と判断される場合には、SI事業者と相談しながら対応を進めることをオススメします。
次回は、セキュリティ上の問題の有無に関する調査についてご紹介していきます。