脆弱性関連情報として取り扱えない場合の考え方の解説

本パートナーシップが取り扱う脆弱性関連情報について

本ガイドラインには、どのようなソフトウエア製品、ウェブアプリケーションの脆弱性関連情報を取り扱うか、その適用の範囲が定義されています。

III．本ガイドラインの適用の範囲 本ガイドラインは、次のものに係る脆弱性であって、その脆弱性に起因する影響が不特定または多数の人々におよぶおそれのあるものに適用します。 ○日本国内で利用されているソフトウエア製品 ・「暗号アルゴリズム」や「プロトコル」を実装しているものも含みますが、一般的な「暗号アルゴリズム」や「プロトコル」等の仕様そのものの脆弱性は含みません。 ○主に日本国内からのアクセスが想定されているウェブサイトで稼働するウェブアプリケーション ・例えば、主なコンテンツが日本語である、あるいは URL のホスト名の最上位ドメインが「jp」であるウェブサイト等を指します。

本ガイドラインの適用の範囲に該当しない場合、本パートナーシップの取扱対象外のため、不受理となります。

また、本ガイドラインの適用の範囲に該当した場合、以下の定義に従って脆弱性であるか判断しています。

II．用語の定義と前提 1．脆弱性 脆弱性とは、ソフトウエア製品やウェブアプリケーション等において、コンピュータ不正アクセスやコンピュータウイルス等の攻撃により、その機能や性能を損なう原因となり得るセキュリティ上の問題箇所です。 なお、ウェブアプリケーションにおいて、ウェブサイト運営者の不適切な運用によって、個人情報等が適切なアクセス制御の下に管理されておらずセキュリティが維持できなくなっている状態も含みます。

本ガイドラインが定義する脆弱性に該当しない場合、本パートナーシップの取扱対象外のため、不受理となります。

なお、本ガイドラインが定義する脆弱性に該当しないと判断した場合でも、届け出られた情報を製品開発者、またはウェブサイト運営者が認識することが望ましいと IPA が判断した場合は、参考情報として通知することがあります。

取扱対象外の届出事例

ここでは、取扱対象外であるために不受理となった届出のうち、特に件数が多かった事例について、その理由を踏まえて本ガイドラインにおける考え方を解説します。

1.日本国内からのアクセスが想定されないウェブサイトに関する届出

届出内容の例

英語のコンテンツのみが提供されている海外ドメインのウェブサイトに脆弱性が存在する。

本ガイドラインにおける適用範囲の考え方

以下の全てに該当するウェブサイトは、本ガイドラインの適用範囲外であることから、取扱対象外となります。 ・外国語表記のコンテンツしか見当たらない ・.us など、日本以外の国コードトップレベルドメイン

2. 攻撃者自身しか攻撃できないクロスサイト・スクリプティング（Self XSS）の届出

届出内容の例

ウェブサイトのフォーム中に攻撃者がスクリプトを入力して送信した場合、攻撃者のウェブブラウザ上でスクリプトが実行するクロスサイト・スクリプティングの脆弱性がある。しかし、攻撃者ではない第三者（被害者）にスクリプトを実行させる方法がない。

本ガイドラインにおける適用範囲の考え方

問題を悪用するには、被害者自身がスクリプトを入力する必要があり、攻撃者は第三者に対してスクリプトを実行させることはできません。IPA では、このような手順でのみ再現する問題を Self XSS と判断しています。 Self XSS は第三者を攻撃することができないため、本ガイドラインで定義する「コンピュータ不正アクセスやコンピュータウイルス等の攻撃」が成立しません。このため、Self XSS は本ガイドラインにおける脆弱性の定義に該当しないことから、取扱対象外となります。 また、攻撃者が被害者を騙し被害者自身にスクリプトを入力させるような手口も、本ガイドラインで定義する「コンピュータ不正アクセスやコンピュータウイルス等の攻撃」の定義に該当しないと判断しています。

なお、本パートナーシップでは、ソフトウエア製品とウェブアプリケーションに係る脆弱性情報を取り扱いますが、上記事例に関する考え方は同一です。

本件に関するお問い合わせ先

IPA 技術本部セキュリティセンター
E-mail: