JNSA「セキュリティしんだん」
«(27)ダウンロード規制拡大方針の動向 | (29)サイバーセキュリティ界隈でよくある誤解 » |
(28)公表前の脆弱性の報道を考える(2019年9月17日)
元年7月1日から始まったQRコードを利用しての決済サービスであるセブンペイに、不正アクセスが相次いで、結局、運営もとであるセブンアンドアイ・ホールディングス(以下、会社といいます)は、新規登録を停止し、その後、外部IDとの接続を遮断するなどの対応を行いました。結局、サービス自体を停止することにしました。ところで、最初に不正アクセスが相次いだ際に、記者会見した経営陣が、記者との受け答えに窮する場面もあり、世間では非常に注目を浴びました(以下、便宜上、一連の事件をセブンペイ事件といいます)[1]。ここでは、この過程で起きた脆弱性に関する報道を見ていきたいと思います。
この事件の一般的な経緯はさておいて、ここで注目したい脆弱性の報道というのは、新聞社が7月11日午後4時に、脆弱性が修正される前だったにもかかわらず、「(セブンペイが)外部IDからのログインを遮断へ、不正利用巡り」という記事を明らかにしたことに関連します。脆弱性というのは、「コンピュータウイルス、コンピュータ不正アクセス等の攻撃によりその機能や性能を損なう原因となり得る安全性上の問題箇所(ウェブアプリケーションにあっては、アクセス制御機能により保護すべき情報等に不特定又は多数の者がアクセスできる状態を含む。)をいう」をいいます(「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」[2]以下、「取扱規定」といいます)。この脆弱性情報や脆弱性が存在することを検証する方法、悪用するプログラム等の情報を含めた脆弱性関連情報が不用意に拡散された場合には、それらの情報の悪用によって新たなセキュリティ侵害の可能性を引き起こすというデメリットがあるので、その点についての十分な配慮がなされるべきであると考えられます。そのような考え方に基づいて「情報セキュリティ早期警戒パートナーシップ」が、2004年に整備され、独立行政法人 情報処理推進機構、一般社団法人 JPCERT コーディネーションセンターなどによって運営されています[3]。このパートナーシップの運営にあたって生じる問題点等は、「情報システム等の脆弱性情報の取扱いに関する研究会」のもとで検討され、その検討の結果が、パートナーシップのガイドラインに反映されています。私自身も、この早期警戒パートナーシップの元となっている考え方、また、実際にいろいろと生じるであろう問題点などについて法的な立場から解説を試み、それが公表されています(情報システム等の脆弱性情報の取り扱いにおける法律面の調査 報告書改訂版)[4]。この試みは、世界的に見ても先進的なもので、国際標準化された製品開発者における脆弱性の取扱いと開示に関わるプロセス[5]にも、先んじるものでした。
このパートナーシップの仕組みは、脆弱性を発見したもの(発見者)は受付機関に対して脆弱性を届け出る、受付機関は届出を受理し調整機関に送付する、送付を受けた調整機関は開発者への連絡や公表にかかる調整を行う、というものです。この場合、発見者は、正当な理由のない限り脆弱性関連情報を第三者に開示しないことも求められています。ここで、発見者は、脆弱性関連情報を発見又は取得したものをいうとされています(取扱規定・第1・3・(8))ので、脆弱性関連情報を取得した報道関係者にも、この規定の適用がなされうることになります。
セブンペイ事件においては、外部IDからのログインを遮断したということから、外部連携に関して脆弱性があったのではないか、とされ、上記の第一報と会社からの正式発表に引き続いて詳細な報道がなされています。
いわゆるインシデントレスポンスの過程について考えると、運営の主体は、その脆弱性に気がついた場合、関係する部門との調整を経て、対処方法を決めて、実際に対処し、さらに情報を公表します。その準備の最中に、不特定多数の者にたいして、報道がなされると、その報道から脆弱性の存否・攻撃方法を了知することが可能になり、それが悪用される(この場合には、現実の金銭的被害が発生する)という可能性が発生します。その一方で、すでに脆弱性が存在していることが明らかになっているのではあれば、早急に対応をしていれば足り、関係部門との調整が進行中であることを理由に、報道を自粛しなければならない、ということは、行き過ぎである、ともいえます。特に、7月8日の段階で、すでにこの外部連携に関する脆弱性について気がついていたという報道がなされていますが、早急な報道をなすことによって、対応を早め、結果として実際に被害が発生する可能性をできるだけ押さえ込むことができて、そのような報道は、有意義であるという考え方もなりたちえます。本稿において、一定の結論を導くことはしませんが、今回の件は、脆弱性の修正および正式な公表前に、それを不特定多数の者に伝えることが、被害の拡大を引き起こす可能性もあることは、留意しなければならないといえるでしょう。メディアの人々は、自らに与えられている力を正しく使っているのか、ということを自問してほしいと考えています。
- [1] :
- 時系列的なまとめとしてpiyokango「7payの不正利用についてまとめてみた」
(https://piyolog.hatenadiary.jp/entry/2019/07/04/065925)ほか - [2] :
- 「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」平成29年経済産業省告示 第19号
(https://www.meti.go.jp/policy/netsecurity/vul_notification.pdf) - [3] :
- https://www.ipa.go.jp/security/ciadr/partnership_guide.html
- [4] :
- https://www.ipa.go.jp/files/000072543.pdf
- [5] :
- ・ISO/IEC 30111 - Vulnerability handling process(脆弱性取扱い手順)
・ISO/IEC 29147 - Vulnerability disclosure(脆弱性開示)
«(27)ダウンロード規制拡大方針の動向 | (29)サイバーセキュリティ界隈でよくある誤解 » |