オープンソースカンファレンス福岡2014の講演資料です

1. Lessons (to be) Learned from
Handling OpenSSL
Vulnerabilities
2014年年11⽉月22⽇日
+1$35コーディネーションセンター
情報流流通対策グループ
脆弱性解析チームリーダー
久保 正樹

2. 年年に
+1$35$$がハンドリングした
0QFO44-の脆弱性
を振り返る
Copyright©2014 JPCERT/1 CC All rights reserved.

3. OpenSSL とは
! 暗号化の機能(SSL/TLS/DTLS)を提供するライブラリ
! オープンソース
! Apache License 1.0
! LibreSSL (OpenBSD) と boringssl (Google) に最近
フォーク
! 多くのサーバで利利⽤用されている
! ⼀一部のクライアントでも使⽤用されている
— Android (SSLSocketFactory等), Chrome for Android 等
Copyright©2014 JPCERT/CC All rights reserved.
2

4. SSL/TLS 関連の脆弱性 (2014)
! OpenSSL 関連
Copyright©2014 JPCERT/CC All rights reserved.
3
4⽉月8⽇日JVNVU#94401838OpenSSL の heartbeat 拡張に情報漏漏えいの
脆弱性
6⽉月6⽇日JVN#61247051OpenSSL における Change Cipher Spec
メッセージの処理理に脆弱性
8⽉月11⽇日JVNVU#93614707OpenSSL クライアントにナルポインタ参照の
脆弱性
10⽉月16⽇日JVNVU#98283300SSLv3 プロトコルに暗号化データを解読され
る脆弱性(POODLE 攻撃)

5. SSL/TLS 関連の脆弱性 (2014)
! サーバ証明書を検証しない問題
— JVNで11件公表
— Androidアプリに多数⾒見見つかる
! SslError回避のバッドノウハウ流流布が原因？
— USでは、連邦取引委員会(FTC)が問題視して2社を指導
! 関⻄西オープンソース2014で JPCERT ⼾戸⽥田が講演
— 〜～誰かの失敗を他⼭山の⽯石に〜～脆弱性事例例に学ぶセキュア
コーディング「SSL/TLS証明書検証編」
— https://k-of.jp/2014/session/563
Copyright©2014 JPCERT/CC All rights reserved.
4

6. Copyright©2014 JPCERT/5 CC All rights reserved.
20
5
7
8 8
11
3 3
5
1
4
7
4
2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014
25
20
15
10
5
0
OpenSSLの脆弱性
(件数)
TPVSDFIUUQTXXXPQFOTTMPSHOFXTWVMOFSBCJMJUJFTIUNM

7. 情報セキュリティ早期警戒パートナーシップ
Copyright©2014 JPCERT/CC All rights reserved.
6
発⾒見見者 IPA
(受付)
JPCERT/CC
(調整)
開発者の皆さん
個⼈人
企業
オープンソース
コミュニティ
JVN
(公表)
エンドユーザ
企業ユーザ
マスメディア
SIer
などなど
CERT/CC
NCSC-‐‑‒FI
(調整)

8. 5IF)FBSUCMFFE#VH
Copyright©2014 JPCERT/CC All rights reserved.
7

9. Heartbleed 脆弱性とは
! プロセスメモリ上のTLS 秘密鍵が漏漏洩する問題
! OpenSSL 1.0.1 が影響を受ける
! Codenomicon の研究者が脆弱性を発⾒見見
— のちに Google も同時に問題を発⾒見見していたことが判明
サーバ
Copyright©2014 JPCERT/CC All rights reserved.
8
クライアント
攻撃リクエスト
秘密鍵、認証情報

10. 時系列列 +1$35
Copyright©2014 JPCERT/CC All rights reserved.
9
4⽉月6⽇日(⽇日)
20:08 NCSC-FI Jussi からメール受信
• 脆弱性の概要
• FI は OpenSSL に通知済み
• 2つの依頼
• CVE 割当て
• ベンダのリストアップ
時間は65$

11. 4⽉月7⽇日(⽉月)
16時 電話：NCSC-FI → JPCERT/CC
22:24 CERT/CC が vultures にメール
• CVE-2014-0346 を割当て
4⽉月9⽇日(⽔水)
15:46 IIJ から VS⼊入⼒力力
4⽉月11⽇日(⾦金金)
12:48 ⽇日本マイクロソフトからVS⼊入⼒力力
最終的に国内社に⾃自社の対応状況を
+7/で公表していただきました
4⽉月8⽇日(⽕火)
08:18 アドバイザリ公表を確認
09:48 CERT/CC アドバイザリ公表の連絡
11:42 CERT/CC 「OpenSSL か Cloudflare が
早く公開してしまったのか？」
15:00 JVN 公開、国内50社に公表通知のメー
ル
①
②
③
④
⑤

12. 時系列列 0QFO44-
4⽉月6⽇日(⽇日)
20:08 NCSC-FI Jussi からメール受信
4⽉月8⽇日(⽕火)
00:19 FI が Mark Cox / Ben Laurie
に Codenomicon の脆弱性を通知
01:11 OpenSSL コアチームメンバー
に情報が展開される
• 同⽇日に2組織が同じ脆弱性を発⾒見見し
Copyright©2014 JPCERT/CC All rights reserved.
10
• 脆弱性の概要
• FI は OpenSSL に通知済み
• 2つの依頼
• CVE 割当て
• ベンダのリストアップ
時間は65$

13. 4⽉月1⽇日
Google → OpenSSL に脆弱性とパッチの連絡
Google → 他のインフラプロバイダにも通知
4⽉月7⽇日
14:56 OpenSSL が Red Hat に通知
15:10 Red Hat が oss-security の distros
に情報展開
• 詳細はふせられた
• 影響バージョン、9⽇日公開の
エンバーゴーに基づき、OpenSSL が詳細
を distro に展開
17:15 SuSE
17:16 Debian
17:49 FreeBSD
19:00 AltLinux
20:30 Ubuntu (リクエストベース)
23:14 Gentoo (リクエストベース)
4⽉月7⽇日(⽉月)
16時 電話：NCSC-FI → JPCERT/CC
22:24 CERT/CC が vultures にメール
• CVE-2014-0346 を割当て
4⽉月9⽇日(⽔水)
15:46 IIJ から VS⼊入⼒力力
4⽉月11⽇日(⾦金金)
12:48 ⽇日本マイクロソフトからVS⼊入⼒力力
4⽉月8⽇日(⽕火)
08:18 アドバイザリ公表を確認
09:48 CERT/CC アドバイザリ公表の連絡
11:42 CERT/CC 「OpenSSL か Cloudflare が
早く公開してしまったのか？」
15:00 ていJVN るこ公開と、か国ら内、50公社開に公表通知のメー
ル
を決定
02:25 OpenSSL がウェブページを
アップデート＆アドバイザリ準備
03:39 OpenSSL がアドバイザリ公開
①
②
③

14. 脆弱性公表について
! 0QFO44-が直接連絡したのは-JOVY%JTUSP社だけ
ˋ 3FE)BU
4V4
%FCJBO
'SFF#4%
MU-JOVY
ˋ 残りの EJTUSPは PTTTFDVSJUZ経由
! LBNBJ
$MPVEBSF
'BDFCPPLには事前にパッチが提供
されていた
ˋ (PPHMF経由で連絡が⾏行行っていたと推測される
! 詳しい経緯
ˋ 5IF4ZEOFZ.PSOJOH)FSBMEˊ)FBSUCMFFEEJTDMPTVSF
UJNFMJOFXIPLOFXXIBUBOEXIFO
Copyright©2014 JPCERT/CC All rights reserved.
11

15. Lessons Learned
! 調整機関 (JPCERT, CERT/CC, NCSI-FI) は調整相⼿手しか⾒見見
えなかった
! OpenSSL ⾃自⾝身も限られた情報に基づきハンドリング
— 前倒し公表は適切切であったといえる
Copyright©2014 JPCERT/CC All rights reserved.
12
事前通知リークの
可能性

16. $$4*OKFDUJPO7VMOFSBCJMJUZ
Copyright©2014 JPCERT/CC All rights reserved.
13

17. CCS Injection 脆弱性とは
! サーバとクライアントが暗号化通信を開始する⼿手順(ハン
ドシェイク)の途中で、不不正な信号
（change_cipher_spec）を受け取ると、通信に使わ
れる暗号鍵が予測可能なものになる
— 通信内容の解読、なりすましに悪⽤用される
! 中間者攻撃が必要
! レピダムの菊池さんが発⾒見見者
— 『OpenSSLのバグを⾒見見つけた話』
— http://www.iij-ii.co.jp/lab/seminars/
Copyright©2014 JPCERT/CC All rights reserved.
14

18. Copyright©2014 JPCERT/15 CC All rights reserved.
サーバ
クライアント
CCS
Injection
中間者攻撃により
暗号化された通信を
攻撃者に解読される

19. SSL/TLS のハンドシェイク
Copyright©2014 JPCERT/CC All rights reserved.
16

20. 時系列列 +1$35
Copyright©2014 JPCERT/CC All rights reserved.
17
⽉月⽇日 ⽔水
*1から届け出の連絡
⽉月⽇日 ⽊木
発⾒見見者から追加情報
⽉月⽇日 ⾦金金
発⾒見見者から追加情報
検証詳細情報翻訳開始
⽉月⽇日 ⽊木
0QFO44-に詳細送付
⽉月⽇日 ⽊木
発⾒見見者から追加情報
⽉月⽇日 ⾦金金
発⾒見見者から$35$$にも連絡したとのこと
⽉月⽇日 ⽉月
発⾒見見者から追加情報 パッチ
$35$$に連絡
⽉月⽇日 ⽔水
/$4$'*に連絡
国内約社に概要通知
⽉月⽇日 ⽊木
⽉月上旬公開を社に通知
⽉月⽇日 ⽊木
0QFO44-、/$4$'*アドバイザリ公開
⽉月⽇日 ⾦金金
+7/公開（XEBZTEBZT）

21. /$4$'*
Copyright©2014 JPCERT/18 CC All rights reserved.
+1$35
$35$$
研究者
レピダム菊池さん
*1
ML (oss-distros)
-JOVY'SFF#4%
国内社
ハンドリングの実態
CCS Injection
他の研究者
案件
海外社

22. ハンドリング中に頂いた質問1
Copyright©2014 JPCERT/CC All rights reserved.
19
弊社の製品も対策が必要だが、
OpenSSL からパッチやアドバイザリーは
まだ出ていなません。
弊社側でOpenSSLのサイトを⾒見見続ける必要があるの
でしょうか。
それとも JPCERT からのアナウンスを待つことにな
るでしょうか。

23. 回答1
OpenSSL のアドバイザリを最短・確実に⼊入⼿手する⽅方法
1. OpenSSL のアドバイザリを地道にウォッチ
2. JPCERT からの JVN 公開通知を待つ
3. oss-security ML を購読
— OpenSSL アドバイザリ公開とほぼ同時にメールが流流れる
— 技術ネタのトラフィックがそれなりにあるので、⾒見見落落と
さないように気をつけないとダメ
JVN では、JPCERT/CC や CERT/CC が調整していない案件で
も、脅威度度の⾼高いと判断される脆弱性についてはアドバイ
ザリを公開します
— ex. POODLE
Copyright©2014 JPCERT/CC All rights reserved.
20

24. ハンドリング中に頂いた質問2
Copyright©2014 JPCERT/CC All rights reserved.
21
早期警戒パートナーシップガイドライン 1
また、+1$35$$は、044に関する事前通知を、開発者コミュニティに加え
て、必要に応じて以下へ通知します。
・044を導⼊入した製品の開発者
・ディストリビュータ・製品の仕様を決定するサービス提供者（例例：携帯電
話会社）
これは、開発者コミュニティによる脆弱性対応が困難でかつ発表もされない
場合に、当該 044を導⼊入した製品の開発者やディストリビュータ、製品の仕
様を決定するサービス提供者は、その事実を知りうる⼿手段がないが、社会的
影響を考慮するとそれらの脆弱性対応が重要であるケースが想定されるため
です。
今回の0QFO44-は⽉月にパッチがリリースされるので上記には該当しないと理理解。
情報公開前に脆弱性情報を通知した意図は何でしょう？（普段のフローとは違って
⾒見見えた）

25. 回答2
! 044脆弱性の事前通知は、#*/%やQBDIF5PNDBUの
脆弱性でもこれまでやってます
ˋ 脆弱性の詳細や検証コードまでそろった形で情報提供した
点が普段と違って⾒見見えたのかも
! これまで「せめて公開⽇日は知りたい」「パッチの事前提
供を受けたい」などの要望がある中での情報提供
Copyright©2014 JPCERT/CC All rights reserved.
22

26. Lessons (to be) Learned
Copyright©2014 JPCERT/CC All rights reserved.
23

27. +1$35̞開発者
! 事前情報提供は、開発者の皆さんの役にほんとうに⽴立立っ
たのだろうか？
— 今回は運良良く、レピダム菊池さん提供の精度度の⾼高い検証
データがあった
— OpenSSL からパッチの事前提供はなし
— あくまでOpenSSL が修正した6件の脆弱性のうちの1つ
! 「メディアでも話題になる重要案件は社内調整もあり役
に⽴立立ちます」という声も
Copyright©2014 JPCERT/CC All rights reserved.
24

28. +1$35̞開発者
! フィードバックはとてもありがたいです
— 検証結果を共有して下さった IIJ、ヤマハ、横河電機
— 特に IIJ さんの影響範囲に関する分析は、アドバイザリ作
成時に参考にさせて頂きました
Copyright©2014 JPCERT/CC All rights reserved.
25

29. +1$35̞0QFO44-
! ミドルマンにならないために
— 発⾒見見者から、IPA/JPCERT、CERT/CC、OpenSSLの3者に連
絡が⾏行行ってしまった
— OpenSSL に x 3++ のやり取りが発⽣生
! 余計な負担がフラストレーションを招く結果に
Copyright©2014 JPCERT/CC All rights reserved.
26

30. +1$35̞$35$$]/$4$'*
! 国際連携の認知度度向上キャンペーン
— 連携していることが知られていない
— 調整機関 ML (vultures)
— 開発者、研究者に対し国際連携の理理解を広める活動
! Next vultures F2F meeting
— 2015年年春@RSA Conference
— US の Vendor ミーティングと共催
Copyright©2014 JPCERT/CC All rights reserved.
27

31. 脆弱性発⾒見見者・研究者の皆さんに知っておいてほしいこと
! まずは JPCERT/CC, IPA にご連絡を
— 開発者との調整活動を⾏行行っているCERT組織は世界で3つ
! JPCERT/CC, CERT/CC, NCSC-FI
— NDAを結んで連携しています
! JPCERT/CC は CVE の採番機関です
! 海外の開発者とも普段からやりとりしています
— Adobe, Apple, Google, Android, OpenSSL etc…
! JPCERT/CC は Responsible Disclosure の精神にのっとっ
て調整します
Copyright©2014 JPCERT/CC All rights reserved.
28

32. OSS開発者の皆さんに知っておいてほしいこと
! 2つのポリシーがあるとスムーズです
! 脆弱性取扱いポリシー
— 脆弱性の届け出先アドレス
— 対応の流流れ
— 脆弱性公表ページ
— セキュリティ問題に「前向き」な姿勢
! 脆弱性公表ポリシー
— ユーザがリスクを判断できる情報の公表
— 脆弱性のリスクを低減する⽅方法の提⽰示（パッチ、ワークア
ラウンド）
— 発⾒見見者・研究者に対する acknowledge
Copyright©2014 JPCERT/CC All rights reserved.
29

33. OpenSSL の
セキュリティポリシー
Copyright©2014 JPCERT/CC All rights reserved.
30

34. 0QFO44-4FDVSJUZ1PMJDZ
! 年年⽉月⽇日に第版が公開された
ˋ IUUQTXXXPQFOTTMPSHBCPVUTFDQPMJDZIUNM
! 脆弱性を段階の脅威に分類してハンドリング
ˋ 低：開発中のブランチで即修正。必要に応じてバックポー
ト
ˋ 中：次のセキュリティYでまとめて修正
ˋ ⾼高：なる早でバージョンアップ対応（サポート中のバー
ジョンのみ）
! 事前通知は、基本的に 04EJTUSPに対してのみ
ˋ 調整機関に事前通知やパッチ提供は⾏行行わない
Copyright©2014 JPCERT/CC All rights reserved.
31

35. 参考
*4$7VMOFSBCJMJUZ%JTDMPTVSF1PMJDZ
! *4$ の 7VMOFSBCJMJUZ%JTDMPTVSF1PMJDZ が 付けで
更更新された
! #FGPSF
ˋ +1$35はメーリングリスト経由で事前提供を得ていた
! GUFS
ˋ サポート顧客、%/4 オペレータ、04 ディストリビュータ
のみが事前提供を受けることとなった
! +1$35$$ は、公開当⽇日に *4$ から公開の連絡を受け、
各⽅方⾯面 国内開発者、1$35、1BD$35、GSJDB$35
への展開を⾏行行う予定
! 詳細：IUUQTLCJTDPSHBSUJDMF
Copyright©2014 JPCERT/CC All rights reserved.
32

36. ご静聴ありがとうございました
5IBOLZPV
Copyright©2014 JPCERT/33 CC All rights reserved.

37. 参考資料料
OpenSSL Security Policy
Last modified 7th September 2014
全訳
Copyright©2014 JPCERT/CC All rights reserved.
34

38. はじめに *OUSPEVDUJPO
3FDFOUBXTIBWFDBQUVSFEUIFBUUFOUJPOPGUIFNFEJBBOEIJHIMJHIUFEIPX
NVDIPGUIFJOUFSOFUJOGSBTUSVDUVSFJTCBTFEPO0QFO44-8FWFOFWFS
QVCMJTIFEPVSQPMJDZPOIPXXFJOUFSOBMMZIBOEMFTFDVSJUZJTTVFTUIBU
QSPDFTTCFJOHCBTFEPOFYQFSJFODFBOEIBTFWPMWFEPWFSUIFZFBST
昨今の 0QFO44-の
⽋欠陥はメディアの注⽬目を集め、いかに多くのインターネッ
ト基盤が0QFO44-に依存しているかを浮き彫りにした。我々 0QF44-
はこれ
まで、内部でどのようにセキュリティ問題を取り扱うかのポリシーを公開した
ことはない。ハンドリングプロセスは、経験に基づくものであり、年年⽉月を経て
発展してきた。
Copyright©2014 JPCERT/CC All rights reserved.
35

39. セキュリティ問題の報告について 3FQPSUJOHTFDVSJUZJTTVFT
8FIBWFBOFNBJMBEESFTTXIJDIDBOCFVTFEUPOPUJGZVTPGQPTTJCMFTFDVSJUZ
WVMOFSBCJMJUJFTTVCTFUPG0QFO44-UFBNNFNCFSTSFDFJWFUIJTNBJM
BOE
NFTTBHFTDBOCFTFOUVTJOH1(1FODSZQUJPO'VMMEFUBJMTBSFBUIUUQT
XXXPQFOTTMPSHOFXTWVMOFSBCJMJUJFTIUNM
問題の可能性があるセキュリティ脆弱性を我々に通知するためのメールアドレスを
我々は設けている。0QFO44-開発チームの⼀一部のメンバーがこのメールを受信する。
メッセージは1(1で暗号化してもよい 訳注
。詳細はこのページを参照してほしい
IUUQTXXXPQFOTTMPSHOFXTWVMOFSBCJMJUJFTIUNM
8IFOXFBSFOPUJFEBCPVUBOJTTVFXFFOHBHFSFTPVSDFTXJUIJOUIF0QFO44-
UFBNUPJOWFTUJHBUFBOEQSJPSJUJTFJU8FNBZBMTPVUJMJTFSFTPVSDFTGSPNUIF
FNQMPZFSTPGPVSUFBNNFNCFST
BTXFMMBTPUIFSTXFIBWFXPSLFEXJUICFGPSF
問題の通知を受け取ると、0QFO44-開発チームの中でリソースを確保し、問題の調
査と優先度度付けを⾏行行う。場合によっては、メンバーの雇⽤用主のリソースを借りたり、
過去の協⼒力力者の⼒力力を借りることもある。
Copyright©2014 JPCERT/CC All rights reserved.
訳注
PQFOTTMTFDVSJUZ!PQFOTTMPSHの鍵 LFZ*%
は今や誰も復復号でき
ないらしく、この鍵で暗号化すると怒怒られます。0QFO44-$PSFBOE%FWFMPQNFOU
5FBN開発者個⼈人の1(1鍵を使いましょう。
36

40. 背景事情 #BDLHSPVOE
WFSZPOFXPVMEMJLFUPHFUBEWBODFOPUJDFPGTFDVSJUZJTTVFTJO0QFO44-5IJTJTBDPNQMFYUPQJDBOEXFOFFEUPTFUPVUTPNF
CBDLHSPVOEXJUIPVSOEJOHT
誰しも 0QFO44-のセキュリティ問題の事前通知を受けたいだろう。これは⼀一筋縄ではいかない話題であり、我々が発⾒見見した背景
事情を⽰示す必要がある。
5IFNPSFQFPQMFZPVUFMMJOBEWBODFUIFIJHIFSUIFMJLFMJIPPEUIBUBMFBLXJMMPDDVS8FIBWFTFFOUIJTIBQQFOCFGPSF
CPUI
XJUI0QFO44-BOEPUIFSQSPKFDUT
事前により多くの⼈人に知らせれば、情報がリークする可能性がそれだけ⾼高くなる。0QFO44-でも他のプロジェクトでも、これま
でにリークの発⽣生を⽬目にしている。
IVHFOVNCFSPGQSPEVDUTGSPNBOFRVBMMZMBSHFOVNCFSPGPSHBOJTBUJPOTVTF0QFO44-*UTOPUKVTUTFDVSFXFCTJUFT
ZPVSF
KVTUBTMJLFMZUPOE0QFO44-JOTJEFZPVSTNBSU57
DBS
PSGSJEHF
⾮非常多くの組織、これまた⾮非常に多くの製品が 0QFO44-を使っている。0QFO44-はウェブサイトをセキュアにするためだけに
使われているわけではなく、スマート57や⾞車車、冷冷蔵庫などでも使われている。
8FTUSPOHMZCFMJFWFUIBUUIFSJHIUUPBEWBODFQBUDIFTJOGPTIPVMEOPUCFCBTFEJOBOZXBZPOQBJENFNCFSTIJQUPTPNF
GPSVN:PVDBOOPUQBZVTUPHFUTFDVSJUZQBUDIFTJOBEWBODF
パッチやセキュリティ情報を事前に⼊入⼿手する権利利は、とあるフォーラムの有料料メンバーシップのような形態に基づくべきでない、
と我々は強く信じている。我々にお⾦金金を払ったからといって、セキュリティパッチは事前に⼿手に⼊入らない。
8FDBOCFOFUGSPNQFFSSFWJFXPGUIFQBUDIFTBOEBEWJTPSZ,FFQJOHTFDVSJUZJTTVFTQSJWBUFNFBOTUIFZDBOUHFUUIFMFWFM
PGUFTUJOHPSTDSVUJOZUIBUUIFZPUIFSXJTFXPVME
パッチやアドバイザリのピアレビューから、我々は恩恵をうけることができる。セキュリティ問題をプロジェクト内に留留めると
いうことは、公開することで得られるレベルのテストや検証を得られないということである。
*UJTOPUBDDFQUBCMFGPSPSHBOJTBUJPOTUPVTFBEWBODFOPUJDFJONBSLFUJOHBTBDPNQFUJUJWFBEWBOUBHF'PSFYBNQMFJGZPVIBE
CPVHIUPVSQSPEVDUVTFEPVSTFSWJDFZPVXPVMEIBWFCFFOQSPUFDUFEBXFFLBHP˒
組織が事前通知をマーケティング上、他社を出し抜くために利利⽤用することは受け⼊入れられない。たとえば「我々の製品サービス
を買えば、週間前に防御できますよ」など
Copyright©2014 JPCERT/CC All rights reserved.
37

41. 背景事情 #BDLHSPVOE
5IFSFBSFBDUVBMMZOPUBMBSHFOVNCFSPGTFSJPVTWVMOFSBCJMJUJFTJO0QFO44-XIJDINBLFJUXPSUITQFOEJOH
TJHOJDBOUUJNFLFFQJOHPVSPXOMJTUPGWFOEPSTXFUSVTU
PSTJHOJOHGSBNFXPSLBHSFFNFOUT
PSEFBMJOHXJUI
DIBOHFT
BOEQPMJDJOHUIFQPMJDZ5IJTJTBTJHOJDBOUBNPVOUPGFPSUQFSJTTVFUIBUJTCFUUFSTQFOUPOPUIFSUIJOHT
実際のところ 0QFO44-にそれほど多くの深刻な脆弱性は存在しない。したがって、我々が信頼できるベンダのリスト
を維持したり、 事前通知のための
フレームワークの契約を結んだり、契約の変更更に対応したり、ポリシーを守らせる
ことに膨⼤大な時間を費やす価値はない。
8FIBWFQSFWJPVTMZVTFEUIJSEQBSUJFTUPIBOEMFOPUJDBUJPOGPSVTJODMVEJOH$1/*
P$35
PS$35$$
CVUOPOF
XFSFTVJUBCMF
過去に $1/*
P$35
$35$$など第三者機関を使って通知を⾏行行ったことがあるが、どれも適切切ではなかった。
*UTJOUIFCFTUJOUFSFTUTPGUIF*OUFSOFUBTBXIPMFUPHFUYFTGPS0QFO44-TFDVSJUZJTTVFTPVURVJDLMZ0QFO44-
FNCBSHPFTTIPVMECFNFBTVSFEJOEBZTBOEXFFLT
OPUNPOUITPSZFBST
インターネット全体として考えると、最も肝⼼心なことは、0QFO44-のセキュリティ修正を皆にいち早く提供すること
である。0QFO44-のエンバーゴーは、⽉月年年単位ではなく、⽇日や週の単位で計られるべきものだ。
.BOZTJUFTBFDUFECZ0QFO44-JTTVFTXJMMCFSVOOJOHBWFSTJPOPG0QFO44-UIFZHPUGSPNTPNFWFOEPS BOEMJLFMZ
CVOEMFEXJUIBOPQFSBUJOHTZTUFN
5IFNPTUFFDUJWFXBZGPSUIFTFTJUFTUPHFUQSPUFDUFEJTUPHFUBOVQEBUFE
WFSTJPOGSPNUIBUWFOEPS4JUFTXIPVTFUIFJSPXO0QFO44-DPNQJMBUJPOTTIPVMECFBCMFUPIBOEMFBRVJDLQBUDI
BOESFDPNQJMFPODFUIFJTTVFJTQVCMJD
0QFO44-の影響を受けるサイトの多くは、なんらかのベンダーから⼊入⼿手した0QFO44-を運⽤用しているだろう 04にバ
ンドルされている可能性が⾼高い
。これらのサイトを保護する最も効率率率的な⽅方法は、 管理理者が
⼊入⼿手元のベンダーから
アップデート版を⼊入⼿手することである。独⾃自にコンパイルした0QFO44-を使⽤用するサイトであれば、パッチが公開さ
れれば、 ⾃自分で
対処できるだろう。
Copyright©2014 JPCERT/CC All rights reserved.
38

42. 0QFO44-内でのセキュリティ問題のハンドリング
*OUFSOBMIBOEMJOHPGTFDVSJUZJTTVFT
5IJTMFBETVTUPPVSQPMJDZGPSTFDVSJUZJTTVFTOPUJFEUPVTPSGPVOECZPVSUFBNXIJDIBSFOPUZFU
QVCMJD
これらの事情を踏まえ、我々に通知された、あるいは我々⾃自⾝身が発⾒見見した未公開のセキュリティ問題
について、独⾃自の取り扱いポリシーを定めた。
QSJWBUFNFBOTLFQUXJUIJOUIF0QFO44-EFWFMPQNFOUUFBN
⾮非公開 QSJWBUF
とは 0QFO44-開発チーム内に情報が留留まるということを指す。
8FXJMMEFUFSNJOFUIFSJTLPGFBDIJTTVFCFJOHBEESFTTFE8FXJMMUBLFJOUPBDDPVOUPVSFYQFSJFODF
EFBMJOHXJUIQBTUJTTVFT
WFSTJPOTBFDUFE
DPNNPOEFGBVMUT
BOEVTFDBTFT8FEJWJEFUIFJTTVFT
JOUPUIFGPMMPXJOHDBUFHPSJFT
我々は個々の問題がもたらすリスクを判断する。過去に問題を取り扱った経験や、影響を受けるバー
ジョン、⼀一般的なデフォルトの設定、ユースケースを考慮する。そうして問題を次のカテゴリーに分
類する。
Copyright©2014 JPCERT/CC All rights reserved.
39

43. 0QFO44-内でのセキュリティ問題のハンドリング
*OUFSOBMIBOEMJOHPGTFDVSJUZJTTVFT
• MPXTFWFSJUZJTTVFT5IJTJODMVEFTJTTVFTTVDIBTUIPTFUIBUPOMZBFDUUIFPQFOTTMDPNNBOEMJOFVUJMJUZ
VOMJLFMZ
DPOHVSBUJPOT
PSIBSEUPFYQMPJUUJNJOH TJEFDIBOOFM
BUUBDLT5IFTFXJMMJOHFOFSBMCFYFEJNNFEJBUFMZJO
MBUFTUEFWFMPQNFOUWFSTJPOT
BOENBZCFCBDLQPSUFEUPPMEFSWFSTJPOTUIBUBSFTUJMMHFUUJOHVQEBUFT8FXJMM
VQEBUFUIFWVMOFSBCJMJUJFTQBHFBOEOPUFUIFJTTVF$7JOUIFDIBOHFMPHBOEDPNNJUNFTTBHF
CVUUIFZNBZOPU
USJHHFSOFXSFMFBTFT
• 脅威度度低。このカテゴリーには PQFOTTMコマンドラインツール、⼀一般的でない設定、脆弱性の悪⽤用が困難なタイミ
ング依存 サイドチャンネル
の攻撃などが含まれる。基本的には最新のバージョンで修正され、アップデートを提供
している過去のバージョンにもバックポートする可能性がある。脆弱性のページをアップデートし、DIBOHFMPHや
コミットのメッセージで$7に⾔言及するが、新規バージョンリリースのトリガーにはならないかもしれない。
• NPEFSBUFTFWFSJUZJTTVFT5IJTJODMVEFTJTTVFTMJLFDSBTIFTJODMJFOUBQQMJDBUJPOT
BXTJOQSPUPDPMTUIBUBSFMFTT
DPNNPOMZVTFE TVDIBT%5-4
BOEMPDBMBXT5IFTFXJMMJOHFOFSBMCFLFQUQSJWBUFVOUJMUIFOFYUSFMFBTF
BOE
UIBUSFMFBTFXJMMCFTDIFEVMFETPUIBUJUDBOSPMMVQTFWFSBMTVDIBXTBUPOFUJNF
• 脅威度度中。クライアントアプリの異異常終了了、⼀一般的には使われることのないプロトコル たとえば%5-4
の⽋欠陥、
ローカル エクスプロイト可能な？
⽋欠陥などが含まれる。このカテゴリーの問題は基本的に次のリリースまで⾮非公開
にされる。このカテゴリーの複数の⽋欠陥をまとめて修正するようなスケジュールでパッチが公開される。
• IJHITFWFSJUZJTTVFT5IJTJODMVEFTJTTVFTBFDUJOHDPNNPODPOHVSBUJPOTXIJDIBSFBMTPMJLFMZUPCF
FYQMPJUBCMFYBNQMFTJODMVEFBTFSWFS%P4
BTJHOJDBOUMFBLPGTFSWFSNFNPSZ
BOESFNPUFDPEFFYFDVUJPO
5IFTFJTTVFTXJMMCFLFQUQSJWBUFBOEXJMMUSJHHFSBOFXSFMFBTFPGBMMTVQQPSUFEWFSTJPOT8FXJMMBUUFNQUUPLFFQ
UIFUJNFUIFTFJTTVFTBSFQSJWBUFUPBNJOJNVNPVSBJNXPVMECFOPMPOHFSUIBOBNPOUIXIFSFUIJTJT
TPNFUIJOHVOEFSPVSDPOUSPM
BOETJHOJDBOUMZRVJDLFSJGUIFSFJTBTJHOJDBOUSJTLPSXFBSFBXBSFUIFJTTVFJT
CFJOHFYQMPJUFE
• 脅威度度⾼高。⼀一般的な設定に影響を与え、かつ攻撃される可能性が⾼高い問題。サーバの%P4、メモリ内容の漏漏洩、遠
隔からのコード実⾏行行など。このカテゴリーの問題は⾮非公開として扱われ、サポート中の全てのバージョンについて修
正版を新規リリースする。⾮非公開にする時間は最⼩小限にする努⼒力力をする。我々のコントロール下にある問題であれば、
⽬目標はヶ⽉月以内であり、重⼤大なリスクが存在する場合や攻撃がすでに⾏行行われている場合はもっと早くなる。
Copyright©2014 JPCERT/CC All rights reserved.
40

44. 0QFO44-内でのセキュリティ問題のハンドリング
*OUFSOBMIBOEMJOHPGTFDVSJUZJTTVFT
%VSJOHUIFJOWFTUJHBUJPOPGJTTVFTXFNBZXPSLXJUIJOEJWJEVBMTBOEPSHBOJTBUJPOT
XIPBSFOPUPOUIFEFWFMPQNFOUUFBN8FEPUIJTCFDBVTFQBTUFYQFSJFODFIBT
TIPXOUIBUUIFZDBOBEEWBMVFUPPVSVOEFSTUBOEJOHPGUIFJTTVFBOEUIFBCJMJUZUP
UFTUQBUDIFT*ODBTFTXIFSFQSPUPDPMTBSFBFDUFEUIJTJTUIFCFTUXBZUPNJUJHBUFUIF
SJTLUIBUBQPPSMZSFWJFXFEVQEBUFDBVTFTTJHODJBOUCSFBLBHF
PSUPEFUFDUJGJTTVFT
BSFCFJOHFYQMPJUFEJOUIFXJME8FIBWFBTUSJDUQPMJDZPOXIBUUIFTFPSHBOJTBUJPOT
BOEJOEJWJEVBMTDBOEPXJUIUIFJOGPSNBUJPOBOEXJMMSFWJFXUIFOFFEPOBDBTFCZ
DBTFCBTJT
問題を調査する間、開発チーム以外の個⼈人や組織と協⼒力力して活動することがある。我々
がそうする理理由は、我々が問題を理理解したりパッチを検証することに、彼らが貢献して
くれるからである。プロトコルが影響を受ける場合、レビュー不不⼗十分なアップデートが
⼤大きな問題をもたらすリスクを低減したり、問題が実際に攻撃されているかどうかを検
知したりするために、これは最も優れた⽅方法である。これらの個⼈人や組織に対し、情報
の取扱いに関して厳格なポリシーを設けており、ケース 問題
ごとに協⼒力力を必要とするか
を決めている。
Copyright©2014 JPCERT/CC All rights reserved.
41