脆弱性の開示方法を説明する「security.txt」公開のススメ、悪用を防ぐ

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は11月10日、「RFC 9116「security.txt」の紹介(2022年8月)の続報 – JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ」において、2022年4月に公開された「RFC 9116: A File Format to Aid in Security Vulnerability Disclosure」を2022年8月に紹介した記事「A File Format to Aid in Security Vulnerability Disclosure – 正しくつながる第一歩 – JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ」の続報を伝えた。

JPCERT/CCによると、RFC 9116は組織が脆弱性の開示方法を説明し、セキュリティ研究者などが発見した脆弱性を報告しやすくするために定義された仕様書とされる。続報ではRFC 9116の活用事例などについて解説している。

活用事例では、過去に脆弱性情報を送付したが応答がなかった事例について解説している。JPCERT/CCの脆弱性対応の担当者が代わり、新しい担当者が再度連絡を試みる際にRFC 9116が定める「/.well-known/security.txt」を確認したところ該当情報が提供されていることに気づいたという。前任者は日本語で連絡を試みていたが、security.txtでは英語が指定されていたため英語で連絡をしたところ、開発者と連絡がとれたとしている。その後、スムーズにやり取りが行われ、無事に脆弱性が修正されアドバイザリを公表するに至ったとされる。

このように自社製品の脆弱性を善意のセキュリティ研究者が発見したとしても、適切な連絡手段が見つからないなどの理由で開発者まで情報が伝わらないことがある。脆弱性に関する情報が修正前に公開され、脅威アクターに悪用される事態を避けるために、ソフトウェア開発を行う企業や個人にはRFC 9116の導入が推奨されている。

国内最大級の品揃え【DMMブックス】ロリポップ!
どんなソフトを使ったら良いか分からないアナタに!ソフトナビ

RFC 9116はsecurity.txtファイル1つを作成し、Webサイトにて公開するだけの簡単なものであり難易度はそれほど高くない。導入する際は、企業内における開発チームへの連絡体制を構築し、その窓口を用意してsecurity.txtファイルを作成することになる。

RFC 9116を導入することは、企業のセキュリティ対応への姿勢を示すことになり、ユーザーの信頼を得ることにつながる。製品を悪用されブランドに悪影響がでる前に必要な対策を講じるためにもRFC 9116の導入が望まれている。

情報元
https://news.mynavi.jp/techplus/article/20231127-2817377/