脆弱性の発見と報告とIPA

なんとなーく、脆弱性を見つける→IPAへ報告というのが一般的なのかと、何を見たわけでもなく思ってる自分がいて、報告をしたりもした。 報告したものは基本的に、脆弱性がありそうだな…と思い、怪しい場所をチェックをしてやっぱり見つかったりするので報告するという感じ。 でも、その理由をそのままIPAに報告すると「脆弱性を探すのはやめなさい（やめてください）」といった旨の返事がくる。 私も割と大きめなWEBサービスの開発運営に関わっているのでこれは間違い無いと思うけれど、普通に使ってて、たまたま脆弱性が見つかるなんて結構稀なパターンじゃないかと思う。(もちろん無いわけではない) 通常、普通に使っててたまたま見つかるような部分はテストされてるからね。 となると、脆弱性は普通ではやらないような部分とかに残ってる。 自分が利用してるor利用しようと思ったWEBサービスに、致命的な脆弱性があると嫌なの

[miya2000]

あるサービスの脆弱性チェックをする時はそのサービス提供者に許可を得るべきだと思います。偶然は別。/民間が請け負うべきなんだろう。「当社のサービスははまちちゃんチェックを通過しています」とか。

[potD]

サービス利用者は提供者側の不備による不利益を自己責任として受け入れなければならないのだから、予防措置としてチェックする権利があるはず。自助努力すら禁止する不正アクセス禁止法は正しくないと思う。

[ultraist]

ローカルで動いているサービスやソフトなら自分のことだけど、ウェブサービスなんかは探す行為自体が攻撃になるんじゃないかな

[tot-main]

IPAに報告すると「脆弱性を探すのはやめなさい」といった旨の返事がくるってまじですか！じゃあ、誰がやるのよ

[mi1kman]

届出制度って誤解されてるなぁと思う．届出制度は積極的な脆弱性の発見を推奨しているわけではない．自分の管理下にないウェブサイトに対する脆弱性発見行為の危険性について認識しているなら別にいいんだけど．

[cubed-l]

自分が不正アクセス禁止法に引っかかるかもってことは考えないのかな？「探るな」ってのはそういうことだと思うけど

[tsupo]

脆弱性が見つかってIPAへ報告すると、脆弱性を探すなと怒られる / IPAを通さず直接サービス運営者に伝えた事もあるけど、怒られるどころか感謝されてる / 今のままだとIPAに脆弱性を報告する意味がわからない