IPAからセキュリティ脆弱性について連絡が来た

独立行政法人 情報処理推進機構(IPA)から本サイトのセキュリティ上の脆弱性について指摘がありまして、本日をもって、すべての手続きが完了したようなので過去の一連のデキゴトをメモっときます。

2012.03.15:IPAから最初の連絡をもらう

以下のようなメールがやって来ました。

ウェブサイト管理者様 突然のご連絡失礼致します。 独立行政法人 情報処理推進機構(IPA) 技術本部 セキュリティセンター の◯◯と申します。 IPA では、経済産業省告示に従い、一般の方が発見された、ウェブペー ジのセキュリティ上の問題点の届出を受けつけ、ウェブページの管理者 へ連絡する業務を行なっています。 下記ウェブページのセキュリティ上の問題の詳細情報を運営者様へご連 絡したいので、お手数ですが 5 営業日を目処に返信(件名に IPA#XXXXXXXX 記載)する形で、通知先となるメールアドレスをご教示下さい。

えっ、IPA?こんな零細サイトまでチェックしてるの?って思ったら一般の人が見つけたセキュリティ問題を受け付ける窓口を用意されてるようです。
この時点ではメンドウクサイことになりそうだなーというヨカンがしてました。

で、このメールはなぜかabout.meのフォームから送られてきまして、だからメールアドレスを教えてくれって言われてるわけです。
ちゅーか、このサイトにabout.meへのリンク貼ってなかったと思うんだけど、どうやって調べたんだろ。 facebookへはリンクしてるし、そっちにメアド載せてるからそれで送ってくれればいいと思うんだけども。とか思いつつ、言われたとおりに連絡先メアドを返信しました。

2012.03.16:セキュリティ問題を連絡するための方法の選択

で、次にもらったメールはこれです。

貴ウェブサイトのセキュリティ上の問題に関する詳細情報を通知させて頂くに当たり、その通知方法を確認させて下さい。

セキュリティ上の問題という情報の性質上、できるだけ安全に情報を通知したいと考えております。下記より、ご希望の通知方法をご選択下さい。

1) PGP 暗号化方式
この場合、貴窓口の PGP 公開鍵を用意頂く必要があります。
貴窓口の PGP 公開鍵を本メールに返信する形でご返送ください。

   IPA/ISEC の PGP 公開鍵について
   https://www.ipa.go.jp/security/pgp/index.html

2) パスワード方式
ファイルにパスワードをかけてお送りします(拡張子 .exe)。
パスワードは、安全のため電話でお知らせ致します。電話番号の
開示が難しい場合は、その旨ををご連絡下さい。別メールでパス
ワードを通知させて頂きます。

実行ファイル(拡張子 .exe)の受領や展開が難しい場合は、その旨
をご連絡下さい。その場合は、パスワード付 zip ファイル形式等
の別の方法で送付させて頂きます。

サスガです。固いです。
まあ、脆弱性の問題が悪意ある第三者にモレて悪用されてはマズイですからね、こんな零細サイトでも・・・ね。
とりあえず、お手軽なパスワード方式でお願いしました。

で、セキュリティ問題について自分でも調べたらアッサリと発見できました。すごい単純でハズカシイミスが・・・。
んでも、実害ないんだけどな。これ。
とはいえ「実害ないんです、なぜならば…」って説明するよりも直すほうが早いんでチャッチャと直しました。

2012.03.22:返信の催促

しばらくIPAから連絡が来なかったんで、修正したのを確認してもらえたのかなと思っていたらこんなメールがきました。

詳細情報の送付方法につきまして、先日よりご連絡をさしあげておりますが、ご返信を確認できませんでしたので、再度ご連絡いたします。

あ、送ったつもりのメールが下書きに入ってた・・・。
今度こそ送りましたよ。

2012.03.22:セキュリティ上の問題に関する詳細情報送付

詳細情報と報告書テンプレが添付されたメールがきました。

本メールでは、先に連絡しました貴ウェブページのセキュリティ上の問
題に関し、問題の詳細と、今後の取扱いにつきましてご連絡いたします。

添付ファイルにはパスワードをかけています。
パスワードは別メールにてご連絡させていただきます。

添付ファイル:脆弱性関連情報_XXXXXXXX.zip
(1) 脆弱性関連情報.txt
届出情報の詳細を記載したものです。
(2) 今後のセキュリティ上の問題に関する取扱いのお願い.pdf
脆弱性の存在の確認、修正をしていただく際に、ご協力いただき
たい作業の流れを記載したものです。
(3) 修正完了報告書(記入用).txt
    修正が完了した際に、修正内容等をご報告頂く為のものです。
(4) 修正完了報告書の記入方法.txt
    修正完了報告書を記入頂く際の記入方法を記載したものです。

指摘の点はすでに改修済みの箇所だったので、修正した内容なんかを記載してその日のうちに返信しました。

で、この時点でしったのですが、一般の方からの問題点の指摘はIPAとしては内容の確認はしないみたいです。IPAはサイト管理者へ連絡して修正が完了したら発見者に報告して発見者が修正の確認を行う、という役割分担だそうです。なるほどねー。

2012.03.28:発見者さんに報告しますねー

完了報告を提出して1週間近くたってやっと発見者さんに報告してくれるってメールがきました。

修正完了報告書を送付いただき、ありがとうございます。
本件につきまして修正された旨を、発見者に連絡させていただきます。

また、いただいたコメントにつきましても、併せて発見者へ展開させていただきます。

発見者より取扱い終了に対する異論がないようでしたら、その旨をご報告した上で、本件の取扱いを終了させていただきます。

2012.04.16:確認完了!

それから2週間以上が経過して、この件をすっかり忘れた頃に完了のメールがやってきました。

修正された旨を発見者に連絡しましたが、異論がありませんでしたので、このメールを持ちまして、本件の取扱いを終了させていただきます。

本件につきまして、ご協力いただき、ありがとうございました。
今後とも、よろしくお願いいたします。

ってことで、セキュリティ問題は一件落着です。

今回についてはかなりハズカシイミスを指摘いただきまして、実害ないとはいえ、単純なミスなのでね。反省しております。

そしてIPAがセキュリティ問題の窓口を用意してて、管理者と報告者の間の連絡役に徹してるというのも知らなかったのでちょっと意外だなと思ったり。