脆弱性の大多数、正式公表前に情報露呈

一般

脆弱性の大多数、正式公表前に情報露呈 闇サイトや中国サイトで先に公開されるケースも
脆弱(ぜいじゃく)性の75%は、脆弱性情報データベースで公表される前から情報が出回っていたことが判明。5%は公表前に、ディープWebやダークWebに詳しい情報が掲載されていた。
www.itmedia.co.jp

これはこれで難しい問題だとは思います。

公表されるよりも前に情報を載せた側について善意・悪意ともにありえることです。
メーカーに脆弱性を通知したけど、いつまでたっても公表や対応がないから情報を出しました、なんていうセキュリティ研究家等もいるわけですし。
メーカーが対応してから公表した方が結果的にユーザー側の被害が減るのは確かですが、
対応後に脆弱性を公開しても、古い環境を使い続けるユーザが被害にあうのも事実で。
非論理的な言い方になりますが、極論、悪いことをする人が悪いんです。
情報や道具に矛先を向けてどうするんだって思うことが多いですけど、
残念ながら悪はいますし、もちろん善悪を判断できない層もいます。

だからこそ、どこかでルールを作って規制・統制するしかない。
脆弱性の公表についてもそういった点で、法的な視点での枠組みが必要になるわけです。

例えば日本だと「ソフトウェア製品等の脆弱性関連情報に関する取扱規定」というものがあります。
(旧「ソフトウエア製品等脆弱性関連情報取扱基準」)

ユーザー視点でいえば、今回の記事と関連するのは下記がポイントでしょうか。

  • 発見者は、違法な方法により脆弱性関連情報を発見又は取得しないこと。
  • 発見者は、脆弱性情報公表日まで、脆弱性関連情報が第三者に漏えいしないよう適切に管理すること。
  • 発見者は、正当な理由がない限り、第三者に脆弱性関連情報を開示しないこと。
    正当な理由により開示するときは、あらかじめ受付機関に問い合わせること。

結論を言えば、発見者の意思で勝手に情報を開示しちゃいけないということです。

ただ、そもそもこんな取扱について一般ユーザは「知らない」と思います。
それにユーザが脆弱性を発見したところで届け出る義務・強い拘束力もないし、
開示してしまっても、ただそれだけで法で問われることもありません。

だけど、問題はそれ単体ではありません。
公表した結果どうなってしまうか、それ次第で法に問われることはあります。

IPAの「情報セキュリティ早期警戒パートナーシップガイドライン(2017年版)」に記載のある、「付録3 法的な論点について」の「1 発見者が心得ておくべき法的な論点」から抜粋すると下記のようなことがあります。

  • 脆弱性関連情報の公表は、その情報の内容が真実と異なることを知っていた場合、
    あるいは、真実である場合であっても、特定人の名誉を毀損する意図で公表がなされ、
    かつ、公共の利益と無関係である場合には、刑法の名誉毀損罪に触れる可能性があります。
  • 特定人の信用を毀損する意図で事実と異なる脆弱性関連情報を、
    事実と異なると認識して公表がなされる場合には、
    刑法の信用毀損罪に触れる可能性があります。
  • 通常人に求められる程度の相当の注意をもって調査・検証したりしたのではなしに
    脆弱性関連情報であるとして公表し、
    かつ、脆弱性関連情報の開示に起因して損害が発生した場合、
    損害賠償責任などの民事責任を追及される可能性があります。

書いてあることそのままなのですが、まとめればこの2点がポイントです。

  • 名誉を毀損する行為、信用を毀損する行為は刑法に触れる可能性がある。
  • 損害を発生させた場合、賠償責任など民事で追及される可能性がある。

勝手に公表することでその結果が想像できないのであれば、素直に届け出たほうがいいでしょう。
実際、脆弱性にあたるかどうかも踏まえて専門家が処理してくれますし。
近くに有識者がいればその方を経由して相談・届出したほうが良いとは思いますが。

ただこれは国際的なものではなく、あくまで日本に限った取組ですからね。
日本のWebサイト・アプリケーションの脆弱性を国外の人が見つけた場合は、
発見者が勝手に公開することは十分ありえます。
そうしたら攻撃の餌食になってしまうこともあるかもしれません。
情報は使う側にとって善にも悪にもなる性質を持っていますから、
取扱に注意するだけではなく、少し能動的に情報を集めることも心掛けた方がよいかもしれません。

なお、蛇足になりますが、たとえば、あまり詳しくない人向けに言うと、
不具合・不備と脆弱性の関連はシステム側を少し知らないと判断は難しいです。

あくまで例となりますが・・・

  • 単純な不備(脆弱性ではない):文言にミスがある、リンク先にミスがある
  • 単純な不具合(おそらく脆弱性ではない):ログインのパスワードをミスって入力して表示されるメッセージが違う
  • 脆弱性の可能性(既に脆弱性で攻撃をしかけられているかも):ボタンやリンクをクリックしたら、そのサイトとは明らかに関係のないようなものが表示される。もしくは関係があっても公式が(マニュアル等に)掲載しているものと違う内容が表示される。(
  • 脆弱性:よろしくないファイル(機微なもの:機密や個人情報など)がダウンロードできてしまう

脆弱性の原因はプログラム的に意図しないことができてしまったり(一概に不具合とは言えない)、
設定上の不備であったりすることはありますが、
発見者はそこまで気にする必要はないものの、
どういったものが問題になる(脆弱性にあたるのか)という知識は
この情報社会の中において身に着けておいた方が良いと思います。
それが防衛につながることもありますからね。