「Chuseiken Vulnerability List(CVL)について」「CVLとCVEおよびJVNとの違い」「報告と掲載フローについて」など一般的な情報を必要とする方は「CVLについて」のページをご覧ください。
その他、ご要望・質問等ございましたら下記に従ってメールを送信してください。
【重要】脆弱性および情報漏洩の報告手順のご案内
CVLへ報告する際には一貫してJSONフォーマットを利用する必要があります。記載にあたりテンプレートはこちらのテンプレートをご利用ください。また、記載例につきましてはこちらの記入例を参考にしてください。
匿名にて報告を行う場合には「researcher」欄の「organization」と「name」を空白の状態でメールの送信を行ってください。報告に際しまして、(ハンドルネームやニックネームが法的・倫理的に掲載可能なものであれば)ハンドルネームやニックネームを用いて報告を行うことも可能です。
これらを記載した上で、「vulnアットchuseiken.or.jp」(アットをアットマークへ置き換えてください)までJSONファイルを添付しメールを送信してください。(*1)この際にタイトルに必ず「CVL報告」と記載を行ってください。また、スクリーンショットや動画がある場合にはそれらも添付し、その旨をメールの本文に記載下さい。
JSONファイルの各項目の詳細事項につきましては以下の表をご覧ください。
| title | 脆弱性もしくは情報漏洩の概要がわかるタイトルを記載してください。 |
|---|---|
| date | 脆弱性もしくは情報漏洩を発見した日を記載してください。 |
| details | 脆弱性もしくは情報漏洩の詳細を記載してください。 |
| cvssv3 score | CVSS V3.1スコア(*2)を記載してください。 |
| cvssv3 rating | CVSS V3.1スコアの深刻度を記載してください。 |
| cvssv3 vector | CVSS V3.1スコアのベクターを記載してください。 |
| proof of concept | 脆弱性もしくは情報漏洩の証拠となるコードや手順を明確に記載してください。動画などのリンクを用いることも可能です。JSONの配列構造を利用して手順ごとに分けてください。 |
| reseacher | 連名での報告を行う場合には配列の中にオブジェクトの形式で連ねてください。 |
| researcher organization | 報告者の所属組織を記載してください。空白にすることも可能です。 |
| researcher name | 報告者の氏名を記載してください。空白またはニックネームにすることも可能です。 |
*1 メール返信の際には、Gmailを利用する場合があります。
*2 CVSS C3.1スコアはこちらのサイトで計算することができます。
掲載までのフローと期間について
当法人へ報告していただいた情報は確認を行い次第、CVLに追加し、当サイトへの掲載を行います。詳細につきましては「CVLについて」のページをご覧ください。
通常、掲載までに7営業日を要します。また、報告いただいた製品の状況によっては、非常に時間を要する場合があります。報告いただいたレポートの状況によっては追加での情報共有をお願いする場合がございますので、ご留意ください。
レポートを提出後3営業日を過ぎてもレポート受理の連絡がない場合には、お手数ですがその旨とともにメールをご送信ください。
その他のお問い合わせ
脆弱性・情報漏洩の報告以外のお問い合わせは下記のメールアドレスにて受け付けております。お気軽にご連絡ください。こちらのメールアドレスでは中央政策研究所の組織についてのお問い合わせを受け付けておりません。中央政策研究所の組織に関するお問い合わせがございましたらお手数ですがこちらをご覧ください。
メールアドレス:vulnアットchuseiken.or.jp(アットをアットマークへ置き換えてください)