第44回 2018年3月~修正できない脆弱性対応、繰り返される歴史、そして「あたりまえ」を実践すること | gihyo.jpインフラセキュリティの処方箋 第44回2018年3月~修正できない脆弱性対応、繰り返される歴史、そして「あたりまえ」を実践すること 今月は、時折見られる「開発者と連絡を取れず、修正できない(修正を期待できない)脆弱性」、繰り返される「攻撃」の歴史、そして「あたりまえ」という3つのトピックについて解説します。 「連絡不能案件」扱いされるソフトウェアの脆弱性対処 通常、ソフトウェアに脆弱性がある場合、当該ソフトウェアの開発者に連絡が行き、開発者による脆弱性修正がなされるのが通例と考える方が多いかと思います。実際、情報セキュリティ早期警戒パートナーシップの枠組では、IPAが受付機関となり、JPCERT/CCが調整機関となって、開発者との連絡を取り、脆弱性情報を提供した上で、脆弱性修正および修正版の公開を推進します。 しかし、脆弱性があるソフトウェア開発者との連絡がつかない場合には、このような
