Weitere ähnliche Inhalte
Ähnlich wie いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~ (14)
Mehr von JPCERT Coordination Center (20)
いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~
- 3. Copyright ©2019 JPCERT/CC All rights reserved.
本日の内容
本日は、情報セキュリティ早期警戒パートナーシップに
おける脆弱性の取り扱いについてお話しします。
JPCERT/CC とは
脆弱性とは
情報セキュリティ早期警戒パートナーシップについて
JVN とは
脆弱性のハンドリングについて
2
- 5. Copyright ©2019 JPCERT/CC All rights reserved.
コーディネータ脆弱性発見者
JPCERT/CC とは - 脆弱性情報についてのかかわり -
4
発見者
ユーザ
セキュリ
ティベンダ
攻撃者
ダークウェブ
IPA
JPCERT/CC
バグバウン
ティ
警察
ユーザ製品
脆弱性情報の利用者
メディア
政府
製品開発者
ユーザ企業
ユーザ
協力
アドバイザリ提供
報告
アップデート、
回避策提供
攻撃
情報の仲介、
調整
対策
情報提供
モニタ
リング
OSINT
(情報収集)
情報提供
- 6. Copyright ©2019 JPCERT/CC All rights reserved.
JPCERT/CC とは
一般社団法人 JPCERTコーディネーションセンター
Japan Computer Emergency Response Team Coordination Center
ジェーピーサート コーディネーションセンター
日本国内のインターネット利用者やセキュリティ管理担当者、ソフトウエア製品開発者等
(主に、情報セキュリティ担当者)がサービス対象
コンピュータセキュリティインシデントへの対応、国内外にセンサをおいたインターネット
定点観測、ソフトウエアや情報システム・制御システム機器等の脆弱性への対応などを通じ、
セキュリティ向上を推進
インシデント対応をはじめとする、国際連携が必要なオペレーションや情報連携に関する、
我が国の窓口となるCSIRT(窓口CSIRT)
CSIRT: Computer Security Incident Response Team
※各国に同様の窓口となるCSIRTが存在する(米国のUS-CERT、CERT/CC、中国のCNCERT, 韓国のKrCERT/CC、等)
経済産業省からの委託事業として、サイバー攻撃等国際連携対応調整事業を実施
5
- 7. Copyright ©2019 JPCERT/CC All rights reserved.
JPCERT/CC とは - JPCERT/CC で行っていること -
6
インシデントの予測と捕捉インシデント予防 発生したインシデントへの対応
重要インフラ、重要情報インフラ事業者等の特定組織向け情報発信早期警戒情報
海外のNational-CSIRTや企業内のセキュリティ対応組織の構築・運用支援CSIRT構築支援
マルウエア(不正プログラム)等の攻撃手法の分析、解析アーティファクト分析
各種業務を円滑に行うための海外関係機関との連携国際連携
制御システムに関するインシデントハンドリング、情報収集・分析発信制御システムセキュリティ
日本シーサート協議会、フィッシング対策協議会の事務局運営等国内外関係者との連携
脆弱性情報ハンドリング
未公開の脆弱性関連情報を製品開発者へ
提供し、対応依頼
関係機関と連携し、国際的に情報公開日
を調整
セキュアなコーディング手法の普及
制御システムに関する脆弱性関連情報の
適切な流通
マルウエアの接続先等の攻撃関連サイ
ト等の閉鎖等による被害最小化
攻撃手法の分析支援による被害可能性
の確認、拡散抑止
再発防止に向けた関係各関の情報交換
及び情報共有
インシデントハンドリング
(インシデント対応調整支援)
情報収集・分析・発信
定点観測(TSUBAME)
ネットワークトラフィック情報の収集
分析
セキュリティ上の脅威情報の収集、分
析、必要とする組織への提供
- 8. Copyright ©2019 JPCERT/CC All rights reserved.
JPCERT/CC とは
政府機関や企業からは独立した中立の組織です。
技術的な立場における日本の窓口 CSIRT です。
経産省の告示に基づいて指定された脆弱性の調整機関で
す。
7
- 11. Copyright ©2019 JPCERT/CC All rights reserved.
脆弱性とは
代表的な脆弱性
・バッファオーバーフロー (CWE-119)
・クロスサイトスクリプティング (CWE-79)
・クロスサイトリクエストフォージェリ (CWE-352)
・コマンドインジェクション (CWE-78)
など
10
- 12. Copyright ©2019 JPCERT/CC All rights reserved.
脆弱性とは
脆弱性はソフトウェア(やそれを搭載した組込み製品)
におけるセキュリティ上の弱点のことです。
悪用されると次のようなセキュリティ上の被害をおよぼ
します。
・情報漏えい
・機器の乗っ取り
・機器の機能停止
など
11
- 13. Copyright ©2019 JPCERT/CC All rights reserved.
脆弱性とは
12
アメリカ国立標準技術研究所 (NIST) :
https://nvd.nist.gov/general/visualizations/vulnerability-
visualizations/cwe-over-time
メモリバッファの境界内での操作
の不適切な制限
クロスサイトスクリプティング
入力検証不備
報告される
脆弱性は増加
しています。
- 14. Copyright ©2019 JPCERT/CC All rights reserved.
脆弱性とは
13
アメリカ国立標準技術研究所 (NIST) :
https://nvd.nist.gov/general/visualizations/vulnerability-
visualizations/cwe-over-time
主要な脆弱
性の割合は、
各年であま
り変化があ
りません。
メモリバッファの境界内での操作
の不適切な制限
クロスサイトスクリプティング
入力検証不備
- 16. Copyright ©2019 JPCERT/CC All rights reserved.
脆弱性情報ハンドリング - 脆弱性情報の流通(ソフトウェア製品)-
15
JPCERT/CCJPCERT/CC
メーカ5メーカ5
メーカ4メーカ4
脆弱性の検証
対策の作成
エンド
ユーザ
エンド
ユーザ
企業
ユーザ
企業
ユーザ
SIerSIer
ISPISP
小売小売
マス
コミ
マス
コミ
メーカ2メーカ2
メーカ1メーカ1
脆弱性情報
の開示、
公表日程
の調整
対策情報
の提供
メーカ3メーカ3
通知
通知
脆弱性情報
の報告
ネット上
の情報
ネット上
の情報
収集
JVN
(脆弱性情報ポータル)
JVN
(脆弱性情報ポータル)
受付
分析
日程を
合わせて
公表
脆弱性の
発見者
脆弱性の
発見者
NCSC-FI
NCSC-NL
CPNI
等
NCSC-FI
NCSC-NL
CPNI
等
海外の
情報源
海外の
情報源
海外の
情報源
海外の
情報源
CERT/CC
ICS-CERT
等
CERT/CC
ICS-CERT
等
IPAIPA
日程を
合わせて
公表
MITREMITRE
CERT/CC : CERT Coordination Center https://www.kb.cert.org/vuls/
CPNI : Centre for the Protection of National Infrastructure https://www.cpni.gov.uk/
NCSC-NL: https://www.ncsc.nl/
NCSC-FI : https://www.kyberturvallisuuskeskus.fi/
CISA / ICS-CERT : https://www.us-cert.gov/ics
MITRE : https://cve.mitre.org/
対策情報の
とりまとめ
CVE# 採番
- 17. Copyright ©2019 JPCERT/CC All rights reserved.
コーディネータ脆弱性発見者
脆弱性情報ハンドリングと情報セキュリティ早期警戒パートナーシップ
16
発見者
ユーザ
攻撃者
ダークウェブ
IPA
JPCERT/CC
ユーザ製品
脆弱性情報の利用者
メディア
製品開発者
(メーカ)
ユーザ企業
ユーザ
アドバイザリ提供
報告
アップデート、
回避策提供
セキュリ
ティベンダ
情報セキュリティ早期警戒
パートナーシップ
- 18. Copyright ©2019 JPCERT/CC All rights reserved.
情報セキュリティ早期警戒パートナーシップとは
情報セキュリティ早期警戒パートナーシップは
・経産省の告示に基づく
・脆弱性情報の適切な取扱いを実現する
・連携の仕組み
になります。
17
- 20. Copyright ©2019 JPCERT/CC All rights reserved.
経産省の告示とは
関係のある経産省の告示は 脆弱性関連情報に関する取り扱いと、
受付機関、調整機関を定めた次の 2種類
平成29年経済産業省告示第19号
ソフトウエア製品等の脆弱性関連情報に関する取扱規程
(http://www.meti.go.jp/policy/netsecurity/vul_notification.pdf)
平成29年経済産業省告示第20号
受付機関及び調整機関を定める告示
(http://www.meti.go.jp/policy/netsecurity/vul_institutions.pdf)
19
- 21. Copyright ©2019 JPCERT/CC All rights reserved.
経産省の告示とは
告示により決定されている事項
・脆弱性関連情報に関する取り扱い
・受付機関(IPA(独立行政法人情報処理推進機構))
・調整機関(JPCERT/CC)
が指定されています。
JPCERT/CC は調整機関として次の役割を担います。
・製品開発者へ脆弱性関連情報を通知する
・製品開発者との間で脆弱性対応と公表について調整する
20
- 22. Copyright ©2019 JPCERT/CC All rights reserved.
取り扱う製品の対象
取り扱う対象は「ソフトウェア製品の脆弱性」と「Web
サイトの脆弱性」があります。
「ソフトウェア製品の脆弱性」は、ソフトウェア、IoT 機
器 (ソフトウェアを搭載した組み込み機器)、スマート
フォンのアプリなど様々。OSS 製品も対象です。
「Webサイトの脆弱性」は、インターネット上にある数
多の Web サイトが対象(※本稿のスコープ外)
21
- 25. Copyright ©2019 JPCERT/CC All rights reserved.
JVN とは
JVN は IPA と JPCERT/CC が共同で運営しているサイト
です。
主に調整を行った結果としての脆弱性アドバイザリを掲
載しています。
24
- 26. Copyright ©2019 JPCERT/CC All rights reserved.
JVN とは
よく JVN iPedia と混同されます。
25
IPA と JPCERT/CC が共同運営し
ているサイト (jvn.jp )
脆弱性情報の速報サイト
IPA が運営しているサイト
( jvndb.jvn.jp )
脆弱性情報のアーカイブ
- 28. Copyright ©2019 JPCERT/CC All rights reserved.
公表されるアドバイザリ
27
概要
影響を受ける
システム
詳細情報
対策方法
ベンダ情報
JPCERT/CC
による脆弱性
分析結果
(CVSSv2、
CVSSv3)
謝辞
CVE ID
JVN iPedia 番号
- 30. Copyright ©2019 JPCERT/CC All rights reserved.
JVN で公表している主な情報
29
制度に基づいて調
整・公表した脆弱性
情報
開発者と連絡が取れ
ない案件
制度以外の調整案件
や海外の CERT が主
導で公表した案件な
ど
注意喚起など
連絡が取れない開発
者の一覧
掲載に承諾している
開発者の一覧
- 31. Copyright ©2019 JPCERT/CC All rights reserved.
Japan Vulnerability Note JP
30
「情報セキュリティ早期警戒パートナーシップ」に基づいて調整・公表した脆弱性情
報です。
- 32. Copyright ©2019 JPCERT/CC All rights reserved.
Japan Vulnerability Note JP (連絡不能開発者)
31
連絡不能開発者一覧による公開調査でも、連絡が取れなかった製品開発者が提供する
ソフトウェア製品の脆弱性情報です。公表するアドバイザリも通常の公表内容とは異
なります。
- 33. Copyright ©2019 JPCERT/CC All rights reserved.
Japan Vulnerability Note JP (連絡不能開発者) - 公表されるアドバイザリ-
32
概要
ベンダ情報、
製品情報
詳細情報
想定される影響
対策方法
ベンダの見解
JPCERT/CC か
らの補足情報
JPCERT/CC に
よる脆弱性分
析結果
(CVSSv2、
CVSSv3)
検証情報
謝辞
関連文書
- 34. Copyright ©2019 JPCERT/CC All rights reserved.
Japan Vulnerability Note VU
33
CERT/CC など海外の CERT が主導で公表した脆弱性情報や、発見者、開発者、調整
機関などから連絡を受け、JPCERT/CC が調整・公表した脆弱性情報です。
- 35. Copyright ©2019 JPCERT/CC All rights reserved.
Japan Vulnerability Note TA
34
US-CERT が公表した注意喚起情報や、調整有無に関わらず、必要に応じて
JPCERT/CC が公表する注意喚起情報です。
- 36. Copyright ©2019 JPCERT/CC All rights reserved.
「JPCERT/CC製品開発者リスト」登録ベンダ一覧
35
JVN に名称、セキュリティ情報および脆弱性情報受付窓口の掲載に承諾した製品開発
者のみ記載しています。
- 37. Copyright ©2019 JPCERT/CC All rights reserved.
届出られたソフトウェア製品のうち、インターネット等から入手し得る情報では連絡
が取れず、製品の開発者またはその関係者からの連絡を求めている、製品開発者の一
覧です。
連絡不能開発者一覧
36
- 39. Copyright ©2019 JPCERT/CC All rights reserved.
脆弱性ハンドリングにおける JPCERT/CC の役割
JPCERT/CC には、受付機関である IPAが発見者から受けた脆
弱性届出のうち、届出内容の精査を経て受理された届出情報が
送られてきます。
JPCERT/CC では送られてきた届出情報について、内容の妥当
性を確認し、開発者との調整を進めるかどうか、対象となる開
発者は誰か等を検討します。
検討の結果、調整を進めると判断した場合は、開発者に通知し
脆弱性への対応を依頼するとともに、公表に関するスケジュー
ルを調整し決定します。
38
- 40. Copyright ©2019 JPCERT/CC All rights reserved.
脆弱性ハンドリングにおける JPCERT/CC の役割
39
発見者 IPA JPCERT/CC 開発者
届出 通知
対策
JVN で一般公表
検討・受理 検討・受理
調整調整
- 41. Copyright ©2019 JPCERT/CC All rights reserved.
製品開発者への通知
調整を進めると決定したら、対象の製品開発者が過去に
連絡を取ったことのある開発者かを確認します。
過去に調整を行った実績のある開発者の場合は、新たな
脆弱性情報を送り、対応を依頼し調整を進めることにつ
いての障害はありません。
問題は「新規の開発者」の場合です。
40
- 43. Copyright ©2019 JPCERT/CC All rights reserved.
製品開発者への通知
「新規の開発者」すなわちこれまで調整を行ったことがない開
発者の場合、まず相手のコンタクト先を探すことになります。
開発者は製品を開発した企業や個人が対象です。
確認するのは製品のことが記載された Web サイトや SNS で
す。
連絡先としてまずは次の情報がないかを確認します。
・メールアドレス
・Web サイトのフォーム機能
42
- 44. Copyright ©2019 JPCERT/CC All rights reserved.
製品開発者への通知
メールアドレスなど見つからない場合は次の情報も探し、
何らかの方法で開発者と連絡をできるように努力します。
・SNS
・電話番号
・住所
43
- 46. Copyright ©2019 JPCERT/CC All rights reserved.
製品開発者への通知 - 連絡先が見つからない -
事例 1
メールアドレスを見つけたと思ったら稼働していないドメ
インのメールアドレスだった。
事例 2
自動返信はあるが、正式な連絡がない。
事例 3
使用されているはずなのに返信がない。
45
- 47. Copyright ©2019 JPCERT/CC All rights reserved.
製品開発者への通知 - 連絡先が見つかったら -
開発者の連絡先を発見したら企業、個人問わず連絡をし
ます。
もしも JPCERT/CC からのメールを受け取ったら、いた
ずらメールとは思わずに、まずは内容を確認してくださ
い。
46
- 48. Copyright ©2019 JPCERT/CC All rights reserved.
製品開発者との調整
脆弱性情報を通知した製品開発者から、製品への影響の有無や、
対応方針、スケジュールなどを聴取します。
開発者の情報公開にあわせ、JVN での公表に向けて次の点を
開発者と合意します。
・公表日時
・公表文案
・名称の表記
調整が順調に進み開発者が情報を公開したら、JVN にアドバ
イザリを掲載します。
47
- 50. Copyright ©2019 JPCERT/CC All rights reserved.
製品開発者との調整
場合によっては、開発者から次のような連絡があります。
・対応ができた製品を検証して欲しい
・脆弱性ではなく仕様
・脆弱性が再現できない
・すでに対応している
・直すつもりはない
連絡の内容によって、状況を詳細に確認したり、IPA や
発見者にも確認を取ることもあります。
49
- 51. Copyright ©2019 JPCERT/CC All rights reserved.
製品開発者との調整
事例1 対応ができた製品の検証依頼
開発者から依頼があり、IPA 経由で発見者に検証を依頼。
発見者の検証で脆弱性が修正しきれていないことが判明し、再度開発者が修正を行った後に
JVN で公表した。
事例2 脆弱性にすでに対応している
開発者が届出の脆弱性を確認したところ、届出を受け取る前に偶然アップデートで対応をして
いた。この件では開発者と相談し、アップデートを促す内容で JVN に掲載した。
事例3 更新を取りやめているソフトウェア
開発者に連絡したところ、更新を取りやめているソフトウェアであることがわかり、開発者と
相談の上、使用を停止する内容で JVN に掲載した。
事例4 JVN で公表した後に修正漏れが発覚
JVN での公表後に、発見者より修正漏れがあるとの情報を入手。開発者へ連絡し、修正後に
JVN に追加で情報を記載した。
50
- 52. Copyright ©2019 JPCERT/CC All rights reserved.
対応しないとどうなる?
連絡不能案件の公表
「届出から1年以上開発者と連絡がとれない“脆弱性”を公開する、新た
な運用を開始」 (2015年9月3日から)
https://www.ipa.go.jp/about/press/20150903.html
51
件数は2015年6月時点
- 55. Copyright ©2019 JPCERT/CC All rights reserved.
まとめ
明日にも自分が巻き込まれるかもしれません。すべての
ソフトウェアエンジニアは脆弱性への対応に備えるべき
と考えてください。
脆弱性への対策には JVN、JVN iPedia を活用してくださ
い。
54
- 56. Copyright ©2019 JPCERT/CC All rights reserved.
脆弱性情報を受け取る窓口はありますか?
自社製品のセキュリティ問題の報告を受ける公式な窓口
はありますか?
メールボックス名の命名規則 RFC2142 を参考に、検討
することをお勧めいたします。
例: security@●●●●.co.jp
関連 URL: https://www.ietf.org/rfc/rfc2142.txt
http://rfc-jp.nic.ad.jp/rfc-jp/RFC2142-JP.txt
55
- 57. Copyright ©2019 JPCERT/CC All rights reserved.
脆弱性情報を受け取る窓口はありますか?
JPCERT/CC からの連絡を受けとるために準備をお願い
したいのは、
・窓口となるメールアドレスを公開している
もしくは
・製品開発者リストに事前に登録しておく
これだけです。
後は JPCERT/CC が探して連絡します。
56
- 58. Copyright ©2019 JPCERT/CC All rights reserved.
脆弱性情報を受け取る窓口はありますか?
JPCERT/CC では JVN に掲載する「製品開発者」の登録
も受け付けています (製品開発者リスト)。
連絡ができる正式な窓口として JVN に掲載したい場合は
ご相談ください。
57
- 59. Copyright ©2019 JPCERT/CC All rights reserved.
誰でも関わる可能性があります
あなたが最終製品の開発者でなくても、受託開発した部
品に脆弱性が見つかるかもしれません。
あなたがソフトウェアや機器の製造販売者でなくても、
サービス提供のために外注して作らせ配布しているスマ
ホアプリに脆弱性があるかもしれません。
あなたが開発し提供するツールやコンポーネントは、あ
なたの意図に反して、想定外の安全でない使われ方に
よって普及するかもしれません。
58
- 60. Copyright ©2019 JPCERT/CC All rights reserved.
参考
情報セキュリティ早期警戒パートナーシップガイドライン
2019年版
(https://www.jpcert.or.jp/vh/partnership_guideline2019.pdf)
ソフトウェア製品開発者による脆弱性対策情報の公表マニュア
ル 情報セキュリティ早期警戒パートナーシップガイドライン
付録5抜粋編
(https://www.jpcert.or.jp/vh/vuln_announce_manual2009.pdf)
JPCERT/CC 活動概要 2019 年4月1 日~2019年6月30 日
(https://www.jpcert.or.jp/pr/2019/PR_20190711.pdf)
59
- 61. Copyright ©2019 JPCERT/CC All rights reserved.60
ご相談やお問い合わせ
JPCERTコーディネーションセンター
—Email:pr@jpcert.or.jp
—https://www.jpcert.or.jp/
製品開発者登録に関するもの
—Email:poc-vh@jpcert.or.jp
脆弱性に関する一般的なもの
—Email:vultures@jpcert.or.jp
JVNに関するもの
—Email: jvn@jvn.jp
※資料に記載の社名、製品名は各社の商標または登録商標です。