<前の日記(2004年09月27日) 次の日記(2004年10月02日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 2976   昨日: 4374

2004年09月29日

JVNのことはほとんど知られていないのだろうか

7月から始まった脆弱性情報の届出制で、ソフトウェア製品の脆弱性においては、結果の出口(ベンダーの対応状況の一般公表)は、どうやらJVN (JP Vendor Status Notes) での発表ということのようだが、ひとつの問題は、ここをどれだけの人が見てくれているかだ。

公表第1号となった「JVN#FF73142E: ウイルスバスター コーポレートエディション に脆弱性」の件は、いくつかのメディアで報道されていた。しかし、第2号として今月24日に公表された「JVN#F88C2C13: desknet's に脆弱性」の件は、セキュリティホールmemoで取り上げられたのを除くと、他ではまったく話題になっていないようである。これはなぜなのだろうか。

  1. 当該製品が、ユーザの少ないマイナー製品である?(そうとは思えないのだが)
  2. 当該製品は、組織内の管理者が着々とメンテナンスしているから、一般のユーザが話題にすることがないというだけ?
  3. 脆弱性の説明が十分でないため、緊急性があるとは理解されていない?
  4. 脆弱性の説明が十分でないため、マスメディアが記事にするには取り上げにくい?
  5. ……?

当該製品のWebサイトを見に行ってみると、この件についてのお知らせが出ていない。JVNからリンクされているパッチのページへは、どこからたどれるのだろう?

このパッチのページには、「重要」という赤色の文字が書かれているものの、

修正内容

ウェブメールにて、悪意のあるスクリプトを含んだHTMLメールを参照した場合や、インフォメーションにて、悪意のあるスクリプトを含んだインフォメーションを参照した場合に、個人情報が漏洩する可能性がある問題を解消しました。

アップデートモジュール ( V4.2J R1.6→ V4.2J R1.7 ), ネオジャパン, 2004年9月24日

という説明がなされているだけで、ここには、「脆弱性」とか「セキュリティ」とか「欠陥(せめて不具合)」という言葉が使われていない。

「個人情報が漏洩する可能性がある」という説明も、いまひとつどいうことなのかわからない。「可能性がある」というのは可能性は低いのかどうか。何が漏れるということなのか。そのあたりの不明瞭さが、マスメディアが市民に伝えようとする気を削いでいるのだろうか。発見者による脆弱性の明確な解説があれば、報道されることもあるのだろうか。

こういうとき、JVNが、発見者からの報告内容に基づいて、きちんと必要な情報を自分の言葉で表現して公表すればよいのだが、今回の事例では、ベンダーの発表を丸写ししただけになっている。

概要

ウェブメールにて、悪意のあるスクリプトを含んだHTMLメールを参照した場合や、インフォメーションにて、悪意のあるスクリプトを含んだインフォメーションを参照した場合に、個人情報が漏洩する可能性があることが確認されています。

想定される影響

個人情報が漏洩する可能性があります。

JVN#F88C2C13 desknet's に脆弱性, JP Vendor Status Notes, 2004年9月24日

当該製品がグループウェアであることからして、ふつう(脆弱性情報を取り扱うプロならば)、「個人情報が漏洩する可能性があります」などという具体性の欠如した表現は使わないと思うのだが。

けっきょく、これだけの体制をとっても、ベンダーの発表した通りにしか公表できない*1というのであれば、わざわざこういう体制をとった意義がないのではないか。単なる脆弱性リストとしての役割(CVEのようなもの)しか果たさない。この調子では、発見者が脆弱性情報を自力で公表する必要性を感じてしまうだろう。

権威付けされた脆弱性リストという点で意義があれば十分というのなら、多くの人に読まれて、マスメディアも取り上げてくれるという状況が必要であろう。そこをどうするのか。

やはり、ベンダーが脆弱性情報を公表するときの、言葉の使い方とか、タイトルのつけ方とか、脆弱性の深刻さについての書き方とか、起こり得る被害の内容の書き方とか、そういうものの標準というか、ガイドラインというか、お手本が必要だろう。危惧していた通りの展開になっている。

追記(10月1日)

28日から30日の間にネオジャパンのサイトがリニューアルしたようで、「アップデートモジュール ( V4.2J R1.6→ V4.2J R1.7 )」のページが 404 Not Found になってしまった。いやはや。JVNからもリンク切れになっている。

改装前: http://www.desknets.com/download/patch/patchtov42r17.html
改装後: http://www.desknets.com/standard/download/patch/patchtov42r17.html

Webサイトに適法なバックドア?

  • 「ACCSは十字架を背負い続ける」――久保田氏、情報漏えい事件を語る, ITmedia ニュース, 2004年9月29日

    続いて、ネット情報セキュリティ研究会(NIS)技術調査部長の萩原栄幸氏は、「国内のWebサイトは脆弱すぎる」と指摘する。「ある有名大学のWebサイトに、不正アクセス禁止法に抵触しない程度の簡単なバックドアを仕掛けたところ、大学の教職員名簿がまるごと見えてしまった」(萩原氏)。このような脆弱なサイトは国内では珍しくないという。

「Webサイトにバックドアを仕掛けた」……? 意味がわからない。記者の書き間違いだろうか。

追記(10月1日)

記事が改訂されていた。

  • 「ACCSは十字架を背負い続ける」――久保田氏、情報漏えい事件を語る, ITmedia ニュース, 2004年9月29日

    続いて、ネット情報セキュリティ研究会(NIS)技術調査部長の萩原栄幸氏は、「国内のWebサイトは脆弱すぎる」と指摘する。「検索エンジンを利用しただけで、ある有名大学のWebサイトから大学の教職員名簿がまるごと見えてしまった」(萩原氏)。このような脆弱なサイトは国内では珍しくないという。

*1 つまり腰抜けということ。

検索

<前の日記(2004年09月27日) 次の日記(2004年10月02日)> 最新 編集

最近のタイトル

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
<前の日記(2004年09月27日) 次の日記(2004年10月02日)> 最新 編集