マイクロソフトは2月25日,ユーザーや組織などが見つけた同社製品のセキュリティ・ホールを日本語で報告できる「脆弱性報告窓口」を開設した。セキュリティ・ホールを発見したという報告を受け付けるページやメール・アドレス「secure@microsoft.com」は以前から用意されているが,英語で報告する必要があった。2月25日からは「jpsecure@microsoft.com」あてに,日本語でセキュリティ・ホールを報告できる。英語以外の言語でセキュリティ・ホールに関する報告を受け付けるのは,今回の日本語が初めて。
報告の手順は「脆弱性報告窓口」ページに記載されている。まず,同ページから「脆弱性報告フォーム」をダウンロードして,発見したセキュリティ・ホールに関する情報を記入する。そしてその内容を,「jpsecure@microsoft.com」あてにメールする。
同アドレスあてのメールは,マイクロソフトのサポート・エンジニアが受け取る。そして,24時間以内に報告者へメールで連絡するという。報告された内容が,実際に新しいセキュリティ・ホールに関する情報だった場合には,米Microsoftのセキュリティ専門組織「Microsoft Security Response Center(MSRC)」へも報告される。そして,マイクロソフトのエンジニアとMSRCが協調して解析などを進める。
報告された内容が新しいセキュリティ・ホールで,なおかつ報告者が協力した場合(例えば,セキュリティ・ホールの解析やパッチの作成に協力した場合や,Microsoftが公表する前にセキュリティ・ホールの内容を公にしなかった場合),そのセキュリティ・ホールに関するセキュリティ情報の「謝辞」およびSecurity Bulletinの「Acknowledgments」に報告者の名前が記載される。
◎参考資料
◆セキュリティ調査機関や技術者からの脆弱性情報を日本語で受け付ける「脆弱性報告窓口」を2月25日(水)より開設(マイクロソフト)
◆脆弱性に関する情報をお寄せください(マイクロソフト)
◆Report a Security Vulnerability(米Microsoft)
(勝村 幸博=IT Pro)
