IPAは脆弱性関連情報を受け付けて、(JPCERT/CCに通知してJPCERT/CCが)製品開発者に連絡するという仕事をしている(噂によると専任の人がいるわけではないらしい)。どういう問題が脆弱性として受理されるかはIPAが公開している脆弱性の一覧を見ればわかるけど、どういう問題が受理されないかは公開されないので、私が報告して受理されなかった問題をまとめてみた。脆弱性ではない問題が報告されてIPAの手間を増やすリスクより、脆弱性が報告されないリスクのほうが高いだろうから、迷ったら報告するべきだとは思う。ちなみに、脆弱性ではないということで受理されなくても、望ましくない実装なら開発者に通知してくれる。 IPAの脆弱性の定義は、 脆弱性とは、ソフトウエア製品やウェブアプリケーション等において、コンピュータ不正アクセスやコンピュータウイルス等の攻撃により、その機能や性能を損なう原因となり得るセキ
![IPAに受理されない脆弱性 - kusano-k’s blog](https://cdn-ak-scissors.b.st-hatena.com/image/square/493a13237d7f7fb146178e187779007e110251ab/height=288;version=1;width=512/https%3A%2F%2Fcdn-ak.f.st-hatena.com%2Fimages%2Ffotolife%2Fk%2Fkusano_k%2F20140124%2F20140124002948_120.jpg)