脆弱性情報の公表に関する疑問

■ 自作ソフト Posted by ひぐま (Higmmer) on 2008-01-27 at 01:37:27

◆共有テーマ: Firefox [コンピュータ]

できれば忘れたかったけれど、いつかは触れなければならなかった問題。

これらのエントリを拝読して真っ先に脳裏によぎったのは、自分が1年前に起こしたSage++の脆弱性を巡る騒動のことでした。

この時、自分は以下の2つの点において誤った対応をしてしまいました。

  1. 開発者の個人情報を守るために脆弱性を放置した
  2. 一般公表日前に「脆弱性の存在」を公表した

この件に関しては既にエントリを書いているのでここでは取り上げません。

――とはいえ、あれから1年という時間が経過していることを踏まえ、少しだけ当時のことについて思うところを記しておこうと思う。


まず1.について。勿論、自分の個人情報と引き換えにユーザーを犠牲にするような対応を取ったのは開発者として許されるものではなかったことは十分認識し反省している。しかし、脆弱性情報を入手するのに個人情報(特に住所・電話番号)の登録が必要だというシステムには若干疑問を覚えたのも事実だ。しかもその後のやり取りの中で実は本家Sageプロジェクトの開発者は製品開発者リストへの登録なしに(氏名とメールアドレス、公開鍵の提出のみで)脆弱性情報が提供されていたことが判明した。同じ機関から同じ情報を得るのに国内と海外とで対応が違うというのは理不尽だと思う。


これに関してはJPCERT/CCに質問状を提出し回答も得ているのだが、公開は望まないとのことなのでここで詳細を記すことは控える。ただ、先方としては個人情報無しでの(限定的な)情報提供というオプションも一応用意はしていたらしい。最初の連絡時には「個人情報の登録は必須」とのことだったため情報入手を断念したのだが、そんなことならもっとしつこく食い下がって交渉しておけば良かったと後悔した。


もっとも、現在では「簡易登録枠」という制度が新設され(→参考)、氏名とメールアドレスのみで脆弱性情報の提供を受けることが可能となっている。従って今後は同じ問題が起こることはないと思う。


一方2.についてだが、確かに一般公表日前に「脆弱性の存在(厳密には、その可能性)」を公表したのは誉められた対応ではなかったと思う。特にこの件の場合はSage++のみならず本家Sageも影響を受ける可能性があったわけで、それら多くのユーザーのことを思えばもっと慎重に対応すべきだった。ただ、率直に言って「脆弱性の存在」そのものを公表してはならないという感覚は自分にはなかったのも事実だ。あるソフトに未修正の脆弱性があるというという情報が出されることは決して珍しくないし、特にFirefoxのようなOSSについてはそれが顕著だ(つい先日も非jarアドオンを巡る脆弱性が発覚したばかり)。


そもそもSage++というソフト自体、Sage 1.3.6の脆弱性情報が公表されていたおかげで開発することができたという経緯もあり、そのような情報公開(共有)は有益なものだと考えていた。特に、何らかの事情でサポートや開発作業の継続が困難なことが明らかな場合には寧ろ積極的に情報を公開する方が望ましいのではないだろうか?自分がユーザーの立場なら、脆弱性そのものの修正が無理でもリスクを下げる次善策を案内したり、使用の中止を呼びかけてもらった方がありがたいと思うだろう。――ただ、全ての人がそう思うわけではないという点について配慮が足りなかったことについては改めてお詫びしたい。

ところで、この件には実は続きがあります。それは、上記とは逆に自分が発見者として脆弱性を通報する立場となった時の話です。

一連のSage++の開発過程における独自の調査や読者の方に教えて頂いたテストフィード等による検証作業を進める中で、Sageには未修正の脆弱性が複数存在することを把握するに至りました。それらは本家開発者に対して都度連絡していましたが、1年前のSage 1.3.10のリリース以降、開発者からのレスポンスが完全に途絶えてしまいました。そこで自分は昨年4月3日にIPAに対してSageの脆弱性情報の届出を行い、同5日に受理されました。

それから45日以上が経過した5月21日にIPAに対して進捗状況を問い合わせたら開発者との調整機関であるJPCERT/CCに確認するとのこと。しかし待てど暮らせど音沙汰がありません。そこで再問い合わせをしたところ6月11日になってやっと回答が来ました。そしてその時初めて、先方としても開発者との連絡がつかず修正や公表の目処が全く立たない状態に陥っていることが判明したのです。

当時自分は公開自粛中だったSage++の再公開準備を進めており、そのためにはIPAやJPCERT/CCとの連携が不可欠だと考えていました。独自の判断で情報を公開することでユーザーの混乱を再度招くことは避けたいと考えたからです。そこでSage++の公開可否について事前にIPAに打診していました。IPAの回答は「Sage++の公開は構わない。但し脆弱性関連情報は公表しないように」とのことでした。勿論、自分としても脆弱性の詳細を明らかにするつもりはありませんでしたが、以下の2点について公表することは必須と考えていました。

  • Sageには未修正の脆弱性が存在すること
  • 開発者との連絡がつかず、修正版が提供される目処が立っていないこと

それとともに、できればユーザー側で取ることができる対策方法も示したいと考え、それを踏まえた公表文案を作成して提示しました。ところがIPAからの回答は思いもよらぬものでした。それは対策方法どころか「脆弱性の存在」そのものの公表を控えて欲しい、そしてできれば、Sage++がその修正版であることも伏せておいて欲しいというものでした。

結局、Sage++の再公開時には「HTML出力時のセキュリティ対策を強化」とだけ記しました。

確かに「JPCERT/CC 脆弱性関連情報取り扱いガイドライン」では一般公表日前の脆弱性関連情報だけでなく対策情報についても公開しないよう求めています。なるほど対策情報を見れば脆弱性の推測が可能となり、攻撃者にヒントを与えることになるのは理解できます。しかし「脆弱性の存在を公表してはならない、修正版を作成しても修正内容を公表してはならない」という理屈は個人的には理解し難いものがあります。

経済産業省告示によると、「脆弱性関連情報」という用語は以下のように定義されています。

II. 用語の定義
2.脆弱性関連情報
 脆弱性に関する情報であって、以下に掲げる類型のいずれかに該当するもの。
 (1)脆弱性情報
   脆弱性の性質及び特徴を示す情報。
 (2)検証方法
   脆弱性が存在することを調べる方法。
 (3)攻撃方法
   脆弱性を悪用するプログラム、コマンド又はデータ及びそれらの使用方法。

経済産業省告示第二百三十五号 ソフトウエア等脆弱性関連情報取扱基準

これを文字通りに解釈すれば、単に「脆弱性が存在する」というだけでは「脆弱性関連情報」には当たらないように読み取れると思うのですがどうでしょう?ただ、この定義に従えばやはり対策情報の公開はできないことになります。前述のように対策情報は脆弱性の性質や特徴などの情報と表裏一体だからです。となると対策方法も不明な「脆弱性の存在」を教えられてもユーザーとしてはどうしようもありませんから、やはり何の情報も伝えないのが上策――ということなのかも知れません。

――それって何かおかしくありませんか??

考えてみれば、そもそも脆弱性関連情報の公開が制限されているのはあくまでも一般公表日前のことなのであって、それならばJPCERT/CCが一般公表日を決めてしまえばいいだけの話だと思います。現にガイドラインには「一般公表日決定の際には(中略)45日後を目安とします」との記載があります。しかし、そのルールが運用されているような形跡は見当たりません。そして、Sageに存在する脆弱性は約1年に亘って放置され続けています。

自分としては、本来ならこんな弱小ブログに書くよりJVNのような影響力のあるサイトできちんと脆弱性情報を公開してもらうのが望ましいと思っていました。ですが、ここに書いてしまった以上その責任は全て自分にあります。ご批判は甘んじて受けたいと思います。

最後に、Sageユーザーの方が現時点で取り得る対策方法について記しておきたいと思います。

  • Sageの使用を直ちに中止する (強く推奨)
  • やむなくSageの使用を継続する場合は以下のいずれかの対策を講じる
    • Sageの設定で「コンテンツエリアにフィードを読み込む」をオフにする
    • Firefoxの設定でJavascriptをオフにする(*)
    • 別途NoScriptを導入した上で外部サイト及び"file://"を遮断する(*)
(*) 但しSage 1.4では効果が不十分。Sage 1.4系列は使用しないことを推奨。

尚、拙作Sage++ (Higmmer's Edition)ではIPAに通報済みの脆弱性については修正してありますが、それでも安全であるという保証はどこにもないということをご理解下さい。少しでも不安のある方は他のフィードリーダーを使った方が幸せになれると思います(個人的にはWeb型で全文検索がついたGoogle Readerが最強だと思う)。今のところFirefox 3でSage/Sage++が使えるようになる見通しも全く立っていませんし、ここらが潮時のような気もします。

※ Firefox3対応版Sageの開発進行中!! 詳しくはこちらへ (2008/5/6追記)

トラックバック

この記事について書く(FC2ブログユーザー)
※言及リンクの無いトラックバックは無効です

PageTop▲

コメント

PageTop▲

コメントの投稿

 
 
 
 
 
 (後で編集・削除したいなら必須)
 
  

PageTop▲