高木浩光＠自宅の日記

■ JVNのことはほとんど知られていないのだろうか

7月から始まった脆弱性情報の届出制で、ソフトウェア製品の脆弱性においては、結果の出口（ベンダーの対応状況の一般公表）は、どうやらJVN (JP Vendor Status Notes) での発表ということのようだが、ひとつの問題は、ここをどれだけの人が見てくれているかだ。

公表第1号となった「JVN#FF73142E: ウイルスバスター コーポレートエディション に脆弱性」の件は、いくつかのメディアで報道されていた。しかし、第2号として今月24日に公表された「JVN#F88C2C13: desknet's に脆弱性」の件は、セキュリティホールmemoで取り上げられたのを除くと、他ではまったく話題になっていないようである。これはなぜなのだろうか。

1. 当該製品が、ユーザの少ないマイナー製品である？（そうとは思えないのだが）
2. 当該製品は、組織内の管理者が着々とメンテナンスしているから、一般のユーザが話題にすることがないというだけ？
3. 脆弱性の説明が十分でないため、緊急性があるとは理解されていない？
4. 脆弱性の説明が十分でないため、マスメディアが記事にするには取り上げにくい？
5. ……？

当該製品のWebサイトを見に行ってみると、この件についてのお知らせが出ていない。JVNからリンクされているパッチのページへは、どこからたどれるのだろう？

このパッチのページには、「重要」という赤色の文字が書かれているものの、

修正内容

ウェブメールにて、悪意のあるスクリプトを含んだHTMLメールを参照した場合や、インフォメーションにて、悪意のあるスクリプトを含んだインフォメーションを参照した場合に、個人情報が漏洩する可能性がある問題を解消しました。

アップデートモジュール ( V4.2J R1.6→　V4.2J R1.7 ), ネオジャパン, 2004年9月24日

という説明がなされているだけで、ここには、「脆弱性」とか「セキュリティ」とか「欠陥（せめて不具合）」という言葉が使われていない。

「個人情報が漏洩する可能性がある」という説明も、いまひとつどいうことなのかわからない。「可能性がある」というのは可能性は低いのかどうか。何が漏れるということなのか。そのあたりの不明瞭さが、マスメディアが市民に伝えようとする気を削いでいるのだろうか。発見者による脆弱性の明確な解説があれば、報道されることもあるのだろうか。

こういうとき、JVNが、発見者からの報告内容に基づいて、きちんと必要な情報を自分の言葉で表現して公表すればよいのだが、今回の事例では、ベンダーの発表を丸写ししただけになっている。

概要

ウェブメールにて、悪意のあるスクリプトを含んだHTMLメールを参照した場合や、インフォメーションにて、悪意のあるスクリプトを含んだインフォメーションを参照した場合に、個人情報が漏洩する可能性があることが確認されています。

想定される影響

個人情報が漏洩する可能性があります。

JVN#F88C2C13 desknet's に脆弱性, JP Vendor Status Notes, 2004年9月24日

当該製品がグループウェアであることからして、ふつう（脆弱性情報を取り扱うプロならば）、「個人情報が漏洩する可能性があります」などという具体性の欠如した表現は使わないと思うのだが。

けっきょく、これだけの体制をとっても、ベンダーの発表した通りにしか公表できない*1というのであれば、わざわざこういう体制をとった意義がないのではないか。単なる脆弱性リストとしての役割（CVEのようなもの）しか果たさない。この調子では、発見者が脆弱性情報を自力で公表する必要性を感じてしまうだろう。

権威付けされた脆弱性リストという点で意義があれば十分というのなら、多くの人に読まれて、マスメディアも取り上げてくれるという状況が必要であろう。そこをどうするのか。

やはり、ベンダーが脆弱性情報を公表するときの、言葉の使い方とか、タイトルのつけ方とか、脆弱性の深刻さについての書き方とか、起こり得る被害の内容の書き方とか、そういうものの標準というか、ガイドラインというか、お手本が必要だろう。危惧していた通りの展開になっている。

追記（10月1日）

28日から30日の間にネオジャパンのサイトがリニューアルしたようで、「アップデートモジュール ( V4.2J R1.6→　V4.2J R1.7 )」のページが 404 Not Found になってしまった。いやはや。JVNからもリンク切れになっている。

改装前: http://www.desknets.com/download/patch/patchtov42r17.html
改装後: http://www.desknets.com/standard/download/patch/patchtov42r17.html

■ Webサイトに適法なバックドア？

• 「ACCSは十字架を背負い続ける」——久保田氏、情報漏えい事件を語る, ITmedia ニュース, 2004年9月29日

  続いて、ネット情報セキュリティ研究会（NIS）技術調査部長の萩原栄幸氏は、「国内のWebサイトは脆弱すぎる」と指摘する。「ある有名大学のWebサイトに、不正アクセス禁止法に抵触しない程度の簡単なバックドアを仕掛けたところ、大学の教職員名簿がまるごと見えてしまった」（萩原氏）。このような脆弱なサイトは国内では珍しくないという。

「Webサイトにバックドアを仕掛けた」……？ 意味がわからない。記者の書き間違いだろうか。

追記（10月1日）

記事が改訂されていた。

• 「ACCSは十字架を背負い続ける」——久保田氏、情報漏えい事件を語る, ITmedia ニュース, 2004年9月29日

  続いて、ネット情報セキュリティ研究会（NIS）技術調査部長の萩原栄幸氏は、「国内のWebサイトは脆弱すぎる」と指摘する。「検索エンジンを利用しただけで、ある有名大学のWebサイトから大学の教職員名簿がまるごと見えてしまった」（萩原氏）。このような脆弱なサイトは国内では珍しくないという。