セキュリティの
学び場

今回の解説ニュース

発見された脆弱性を報告しやすくするための定義について解説されています。脆弱性の報告や開示に必要な情報や、解説されている定義の内容について説明します。

今回の記事では、発見された脆弱性に対して、製品開発者とのファーストコンタクトで安全かつ確実に情報を確認できるように、必要な情報を公開する方法を定義した「RFC 9116」について解説しています。

JPCERT/CCで行っている脆弱性調整では、正しい調整先にたどり着かない場合、報告のあった脆弱性関連情報に対し適切な対策が実施されず、製品ユーザーがゼロディ攻撃の脅威にさらされるリスクが残ると指摘しています。また、すべての製品開発者が脆弱性を受け取る準備ができているわけではなく、組織内で対応部門を探すうちに何か月も経過し、最終的に応答がなくなる場合もあるということです。

そもそも RFC とは何を指しているのか？

RFCとは、Request For Commentsの略で、インターネット技術の標準化を行うIETFが発行している技術仕様などについて記された文書群です。最初のRFCは1968年に発行されており、現在に至るまで各文書にはRFCに続く通し番号が割り振られています。

続いて、組織がセキュリティ関連情報の通信を行う際に、利用すべきメールアドレスとして利用が推奨されている RFC 2142では「一般的なサービス、役割、機能に対するメールボックス名」について定義されています。

具体的には、メールボックス名として、マーケティング関連は「info」顧客サービス関連は「support」セキュリティ関連は「security」がそれぞれ定義されています。また、セキュリティに関する考察として、本文書が標準となれば多くのシステムで同一のメールボックス名を利用することになるため、DoS攻撃が容易になってしまうとも言及しています。RFC 2142の詳細については、オリジナルの情報を検索して確認してみてください。

これらは、組織が利用すべきメールアドレスとして定義されていますが、脆弱性対応窓口の場合は、少なくともそれを「外向けにわかりやすく」示しておくことが必要とされています。それによって、想定外の窓口に連絡されて適切な窓口が脆弱性関連情報を受け取れないといったトラブルを防止することもできるということです。

RFC の概要を知った上で RFC9116 の内容を詳しく

RFC 9116は、脆弱性調整を行う機関や脆弱性発見者が開発者との連携をしやすくすることを目的にしています。開発者組織が実施可能な対策の一つとして、組織が脆弱性の開示方法を説明し、セキュリティ研究者などが発見した脆弱性を報告しやすくするために定義されたものです。

RFC 9116では、必要な情報を記載した「security.txt」ファイルをWebサイトの「/.well-known/」パスの下に公開することを要求しています。「security.txt」には「コンタクト」と「有効期限」だけが必須入力項目となっており、その他には「謝辞」「カノニカル」「暗号化鍵」「採用情報」「ポリシー」「優先言語」が記載されるよう定義されています。

例えば、Aさんがいつも使っているECサイトにSQLインジェクションの脆弱性を発見したとします。RFC 9116に準拠したWebサイトであれば、AさんはECサイトのトップページから「/.well-known/security.txt」にアクセスして、書かれているコンタクト先に脆弱性の報告を行うことができます。脆弱性が悪用されてAさんを含むECサイトの個人情報が漏洩するのを未然に防ぐことができるかもしれません。

今回は、RFCの概要と、RFC 9116の内容についてお届けしました。脆弱性調整は、セキュリティ対策が一つの組織だけでなく、社会全体で行う必要があることを示す事例です。その他にもサプライチェーンリスクなど、社会全体で取り組むべきセキュリティの課題は様々ありますので、ご覧の皆さん一人一人の活動で、インターネットを安全にしていきましょう。