ニュース

JPCERT/CC、連絡のとれない開発者の製品に関する脆弱性情報の公表を開始

従来の原則では公開できなかった脆弱性も公表の対象に

JPCERT/CCのリリース情報

 一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は3日、開発者に連絡がとれない製品に関する脆弱性情報の公表を開始した。これらの脆弱性情報は、JPCERT/CCおよび独立行政法人情報処理推進機構(IPA)が共同運営する脆弱性対策情報ポータルサイト“Japan Vulnerability Notes(JVN)”で公開される。

 これまでJVNでは、原則として製品の開発者、JPCERT/CC、IPAの三者合意の上で脆弱性情報を公表してきた。しかしこの原則に従うと、製品の開発者に連絡が取れない場合に利用者へ注意喚起と回避策の案内を行うことができず、リスクが放置される懸念があった。

 そこで今回JPCERT/CCは方針を転換し、従来の原則では公開できなかった、開発者に連絡がとれない製品に関しても脆弱性情報の公表を行うことにしたようだ。新たに設けられた脆弱性の公開ページでは、現在のところ、掲示板ソフト「BBS X102」とSNS構築ソフト「hitSuji(rktSNS2)」の2製品の脆弱性が公表されている。

 なお、脆弱性情報の公開に際しては、JPCERT/CCとIPAの発議で有識者による公表判定委員会が設けられるとのこと。これにより、社会的な影響も考慮しつつ、脆弱性を公表しない場合に利用者が受ける被害と、脆弱性情報の公表により開発者と利用者が被りうる不利益とのバランス調整が図られるという。

(樽井 秀人)