脆弱性を報告しやすくする為の定義「RFC」とは
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」8月24日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・そもそも RFC とは何を指しているのか?
・RFC の概要を知った上で RFC9116 の内容を詳しく
今回の解説ニュース
発見された脆弱性を報告しやすくするための定義について解説されています。脆弱性の報告や開示に必要な情報や、解説されている定義の内容について説明します。
今回の記事では、発見された脆弱性に対して、製品開発者とのファーストコンタクトで安全かつ確実に情報を確認できるように、必要な情報を公開する方法を定義した「RFC 9116」について解説しています。
JPCERT/CCで行っている脆弱性調整では、正しい調整先にたどり着かない場合、報告のあった脆弱性関連情報に対し適切な対策が実施されず、製品ユーザーがゼロディ攻撃の脅威にさらされるリスクが残ると指摘しています。また、すべての製品開発者が脆弱性を受け取る準備ができているわけではなく、組織内で対応部門を探すうちに何か月も経過し、最終的に応答がなくなる場合もあるということです。
そもそも RFC とは何を指しているのか?
RFCとは、Request For Commentsの略で、インターネット技術の標準化を行うIETFが発行している技術仕様などについて記された文書群です。最初のRFCは1968年に発行されており、現在に至るまで各文書にはRFCに続く通し番号が割り振られています。
続いて、組織がセキュリティ関連情報の通信を行う際に、利用すべきメールアドレスとして利用が推奨されている RFC 2142では「一般的なサービス、役割、機能に対するメールボックス名」について定義されています。
具体的には、メールボックス名として、マーケティング関連は「info」顧客サービス関連は「support」セキュリティ関連は「security」がそれぞれ定義されています。また、セキュリティに関する考察として、本文書が標準となれば多くのシステムで同一のメールボックス名を利用することになるため、DoS攻撃が容易になってしまうとも言及しています。RFC 2142の詳細については、オリジナルの情報を検索して確認してみてください。
これらは、組織が利用すべきメールアドレスとして定義されていますが、脆弱性対応窓口の場合は、少なくともそれを「外向けにわかりやすく」示しておくことが必要とされています。それによって、想定外の窓口に連絡されて適切な窓口が脆弱性関連情報を受け取れないといったトラブルを防止することもできるということです。
その他のトピック
RFC の概要を知った上で RFC9116 の内容を詳しく
(全文はこちら)