開発者と連絡不能な脆弱性情報を公表可能に、IPAとJPCERT/CCガイドライン改定

　独立行政法人情報処理推進機構（IPA）と一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は5月30日、脆弱性情報の取り扱いに関するガイドライン（情報セキュリティ早期警戒パートナーシップガイドライン）を改定した。これにより、脆弱性が発見された製品の開発者と連絡が取れない案件を「連絡不能案件」として、脆弱性を公表する運用を開始した。

　脆弱性情報の取り扱いはガイドラインに基づき、IPAが発見者から脆弱性の届け出を受け付けるとともに、脆弱性を分析。JPCERT/CCが脆弱性対策情報を利用者に提供するため、製品開発者との交渉を行っている。

　しかし、製品の開発者と連絡が取れない場合には、こうした交渉を始めることができないため、製品開発者と連絡が取れない脆弱性の届け出については「連絡不能開発者一覧」として、製品開発者名と製品情報を段階的にウェブで公表し、広く第三者からの情報提供を求める運用を2011年9月から実施してきた。

　これまでに取り扱ったソフトウェアの脆弱性1788件のうち、製品開発者に連絡が取れなかったものは170件、うち連絡不能開発者一覧として公表したものが152件、情報公表により製品開発者と連絡が取れたものが21件あったという。

　一方で、現在でも連絡が取れていないものが131件あり、脆弱性の対策が進まないまま放置された状態となっている。こうした状況を改善するため、ガイドラインの改定が行われた。

　ガイドラインの改定により、連絡不能開発者一覧の公表などによっても製品開発者と連絡が取れない場合は、中立的な委員で構成した委員会での審議を経て、脆弱性情報の公表が可能となった。現時点ではガイドラインが改定された段階であり、今後、委員会での審議が行われた後、連絡不能案件の脆弱性情報が公表される運びとなる。

　情報は、「調整不能」であったことを明示した上で、通常の調整を経た脆弱性と同様に、脆弱性情報ポータルサイトの「JVN」に掲載する。脆弱性情報には、脆弱性の内容、想定される影響、分析結果などの他、製品開発者の脆弱性検証の結果、その対応状況が含まれるが、「連絡不能案件」ではこの脆弱性情報に加え、IPAとJPCERT/CCの検証情報が付加される。