Ｗｅｂサイトが社外から指摘や質問をもらったら（2019/6/6）

  
Ｗｅｂサイトを運営していると、社外の方から質問をいただいたり指摘をいただいたりすることがあります。私が担当した１０数年間で、社内は「当たり前に脆弱性を修正する意識」ができました。修正などの作業が完了するまではいくつもやり取りが必要でした。指摘屋さんの行動やサービス運営側の反応、理解が進むまでは一苦労なんですね。なかでも、特徴的なやり取りをしたものいくつかをご紹介します。
  
１）直接の指摘（ＤＮＳサービスディスカバリー）
ある会社さんから直接メールが届き、「そちらの会社から大量の通信を受信している。送るのをやめてくれ」という内容でした。いただいた情報を基に原因を探すと、導入したてのＤＮＳサーバから信号が出てる。ＤＮＳサービスディスカバリーが有効だった。これはＤＮＳの情報を広く集めて応答速度を高めるものだが、十分な帯域を持ったネットワークではあまり意味がない。オフにしてお知らせし終了。
 
２）ツイッターで晒される（クリックジャッキング）
ＩＰＡ経由でクリックジャッキングの脆弱性があるとの指摘をもらった。これはIframeなど使っていなければ比較的簡単に対策できる。でも、指摘者が「わし、クリックジャッキングをＩＰＡに通報してやったぜ！！」とツイッターにアップしたのです。ＩＰＡ案件は晒されないのがルールだと思っていましたが、指摘屋さんの自意識過剰さにはとても残念な気持ち。ＩＰＡさん経由でやさしく削除していただきました。
 
３）ＩＰＡが嫌い（ＸＳＳ）
Webサイト運営側宛にＩＰＡからＸＳＳの指摘をもらいました。でも運営マネージャは私のほうへ「指摘箇所はすぐに直すけど、ＩＰＡに報告するのは嫌だ」といいます。事情を訊くと、ＩＰＡの事例紹介のページに掲載され晒されるからだといいます。説明してもなかなか折れてくれません。そこで、「指摘者がいるので、機嫌を損ねないほうがいい。ここはそーっと報告しておきましょう」と話したところ、やっと納得して報告書をだしていただきました。運営のマネージャに理解していただいた事例。
 
４）どうしてＩＰＡじゃなくてJPCERT/CCから指摘なの（SSL/TLS実装不備）
スマホアプリの担当者から「JPCERT/CCという知らない団体から指摘を受けた。脆弱性の指摘はＩＰＡからじゃなかったの？」という質問。通信の暗号化はできるけど、身元の検証ができないというものだった。その修正作業はすぐ行い、私もIPAとJPCERT/CCの窓口の違いを知りたかったので直接コンタクトしてみたら、①脆弱性はＩＰＡ担当、②製品の脆弱性はJPCERT/CCという回答だった。今回はスマートフォンアプリを『製品』として取り扱われたのでJPCERT/CCからの連絡だったのだ。
 
＜結論＞
放置しないことが大事です。