脆弱性に「スクープ」は必要？ セキュリティ情報公開のあるべき姿を考える：半径300メートルのIT

Felicaに関する脆弱性が大きな話題になりました。ただ今回は脆弱性そのものというよりはその情報が明らかになったプロセスが議論を呼んでいます。これは非常に悩ましい問題ですので、筆者としても見解を述べてみようと思います。

[宮田健，ITmedia]

　先日、最も普及しているITデバイスともいえる「Felica」に脆弱（ぜいじゃく）性があるという報道がありました。大変センセーショナルなものだったため、皆さんも耳にしたかもしれません。「ITmedia NEWS」でも「『FeliCa』の脆弱性で共同通信の報道が波紋　ソニーが公表していなかった“真っ当”な理由とは？」という記事が公開されています。

　ただ、今回の“スクープ”について筆者は非常に冷ややかな目で見ています。

　本来こういった脆弱性は製造元に報告され、内部で内容を鑑みて対策や予防策とセットで一般公開されるべきです。情報処理推進機構（IPA）の「情報セキュリティ早期警戒パートナーシップガイドライン」はそのための枠組みです。発見者は対応を促し、製品開発者は影響する未公表の脆弱性を知り、対処方法を利用者に広く周知できるメリットがあります。

「情報セキュリティ早期警戒パートナーシップ」の概要（出典：IPAの「情報セキュリティ早期警戒パートナーシップ」）《クリックで拡大》

　こうした仕組みがある上でセキュリティの世界に果たして「スクープ」は必要なのでしょうか。筆者は特定のスクープに対しては、明確に「NO！」を突き付けるべきだと思っています。

伝えたい人に伝わり、伝えたくない人には秘することは可能か？

　セキュリティの世界、特に「脆弱性」に関わる課題は多く、一般には公開されていない「ゼロデイ脆弱性」については、その情報の取り扱い方法には細心の注意を払う必要があります。

　ゼロデイ脆弱性とは、まだ製造元すらも把握できていない脆弱性です。これを攻撃に利用すれば、その脆弱性が権限昇格などを含む場合、システムを乗っ取り、任意のコマンドを実行できてしまうでしょう。それが製造元やセキュリティベンダーも、ましてやシステムの運用組織すらも知らない場所で使われてしまうわけです。

　しかし攻撃の存在が知られたとしても、対処方法がセットでなければパニックに陥るだけです。そのため製造側や防御側は、パッチの作成や回避策などの対処方法がセットで提供できるまでは、この情報は絶対に世間に漏れてほしくありません。その時間稼ぎのための仕組みが「情報セキュリティ早期警戒パートナーシップガイドライン」です。

　未公表の脆弱性を発見した場合、まずは製造元に連絡することが正しい行為だといえるでしょう。そうすれば、脆弱性が修正される可能性が高く、結果として利用者全体の利益になります。この仕組みは、伝えたい人に伝わり、伝えたくない人には秘すための仕組みであり、ひいてはガイドラインを守ることが、われわれのためになるという共通見解が前提になっています。

　課題はこのようなプロセスを経て公開された未知の脆弱性は、公開タイミングで「伝えたくない人」にも確実に伝わってしまうことにもあります。特に脆弱性については詳細は公開されないことが多く、ましてやその「脆弱性を悪用した攻撃手法」を伴うPoC（概念実証）が出てくることはまれです。

　しかし公開されているCVE情報や、公開されたパッチのリバースエンジニアリングを実行すれば、修正箇所から逆算した攻撃手法を攻撃者が得ることは不可能ではありません。つまり、ガイドラインで守られるのはあくまで脆弱性が公知になるまでのものであり、一度公知になった場合、攻撃者はそれを悪用するフェーズに“思った以上に素早く”移ります。実は最も情報が欲しいのは、この部分なのではないでしょうか。

　つまり私たちに必要なのは、センセーショナルだが対策方法が見えないスクープではなく、既に悪用が確認できている、そして対策が可能な脆弱性の情報です。これは大変地味な報道になりがちで、多くのニュースに埋もれてしまいます。しかしこれこそがあなたの組織に必要な脅威インテリジェンスのはず。本稿執筆時点でいえば、組織・個人にとって脅威であり人の脆弱性を狙う「ClickFix」による被害や、各種「フィッシング」こそが必要な情報かもしれません。

　もちろん「パスワードを強化して多要素認証やパスキーを活用しよう」「バックアップをしっかり取ろう」「アップデートを正しく適用しよう」などの対策も、セキュリティの世界においてはスクープ同様に広まってほしいと思っています。

メディアのエゴを満たすだけのスクープには「NO！」を

　個人的な指標としては「NHKニュースで取り上げられたか？」をウォッチしています。ちょうどClickFixも、国民に向けて報道され始め、攻撃の広がりを感じます。

　しかしこのコラムを読んでいる方にとっては、そうなってからの対策では遅いと言わざるをえません。この正確な指標としては、社長が「うちは大丈夫なのか？」と言い始めるタイミングです。そのため、その前に先回りしておく必要があるでしょう。そのためには、ぜひ「ITmedia エンタープライズ」の記事をご活用ください。

　スクープという言葉はさまざまな意味を含んでいます。本来のスクープとは、そのままにしていては表に出てこない、国民に知らせるべき情報を掘り起こすべきことであり、しばらくすれば公知となる情報を、ほんの少し前に流すことはスクープではないと私は考えています。それを表すのは「リーク」という言葉があるはずです。

　一方、発見者が報告した上で攻撃の存在が明るみに出ているにもかかわらず、製造者が一向に対応を見せない場合、利用者を守るためにその脆弱性の存在を明らかにするというパターンもあります。鍵となるのはやはり「攻撃が確認されているか？」という点ではないかと思います。

　脆弱性は発見されたものならば良くも悪くも必ず表に出てくるものです。それがリークなのかスクープなのかは大きな問題ではなく、「公開後、いかにすぐに動けるか」という点こそが、われわれが考えるべきことです。これを前提とすれば今回騒動となったFelicaの脆弱性の課題も見えてくるはずです。

　今回の報道に限ったことではありませんが、報道側のエゴによるスクープには「NO！」を突き付ける必要があるしょう。その上で、ITセキュリティに関しては正しい対応がわれわれ側にも求められます。さて、そのスクープ、本当にタメになっていたのでしょうか？

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。