ワクチン摂取システムの脆弱性(SQLインジェクション)によるシステムの脆弱性の発見を受け、IPAから報告があった。

脆弱性を突く手口、IPA「見つけたらまず開発者やIPA窓口に報告して」 ワクチン予約システムの欠陥巡り - ITmedia NEWS

IPAが提示している届出受付を確認して、どうやって報告するのか何がまずいのかについて、これを期に正しく理解してメモがてら残す。

どうやって報告するの?

• 脆弱性関連情報の届出受付
  • 2004 年7月8日から経済産業省の告示に基づき策定された「情報セキュリティ早期警戒パートナーシップガイドライン」に基づき、報告する。
  • 脆弱性を発見するに至った経緯や想定シナリオ等を記載し、報告。

最善の対処法は?

• 情報セキュリティ早期警戒 パートナーシップガイドラインから抽出。
  • 脆弱性等による被害の抑制のため、関係者の推奨される行為をまとめた資料。
  • 今回のケースは「Webアプリケーションの脆弱性」。
  • 発見者の正しいエスカレーションは「脆弱性関連情報の届出受付」にて必要項目を入力し、IPAに報告する。若しくは、運営サイトのお問い合わせ窓口から開発担当者に直接連絡するべきである。
  • 発見者 -> IPA -> ウェブサイト運営者 -> 一般の流れで脆弱性の報告がサイト運営者からなされる。また、脆弱性の公表は。IPA及びJPCERT/CCとの調整の上公表するものであり、今回のように一部報道機関が脆弱性の再現やサイト運営者より前に報道による拡散行為は悪辣な対応であるので無闇に拡散させないこと。公式の声明を待ちましょう。
  • 付録3より、脆弱性をついた攻撃を仕掛けることは、不正アクセス禁止法に抵触する恐れがあるためいたずら目的で攻撃しないこと。

結論

• 脆弱性を発見したらこちら若しくは、システム管理者のお問い合わせ窓口にて報告。
• 無闇に拡散しない。サイト運営者からの公式声明があるまで、秘匿する。
• そもそもテストしとけよこの●● 🤬