「早期警戒ガイドライン」って知ってますか？(422号)

今回は、ちょっと業界の裏話的なお話です。

前回は共同通信の報道に端を発したFeliCaの脆弱性についてお話をしました。

ですが、報道そのものに問題はなかったのか？という話が出てきています。

脆弱性対策については「報道時に守るべきルール」が定められています。
今回、マスコミ自身がそれを守らなかった可能性があるという、少々ショッキングな話です。

なお、今回の記事については、公開された情報から、憶測している部分がかなりあります。
前回と同様に、事実誤認の可能性がありますことを、あらかじめお断わりしておきます。


1. なぜ脆弱性の報道は注意が必要なのか？

マスコミには、多くの人々に知る機会を提供することを使命としています。

ですが、場合によっては、無条件に報道して良いということにはなりません。

一つの例として、凶器を持った犯人が人質をとって立てこもる事件があります。

この場合、マスコミは警察の要請により報道を規制します。
これは、犯人側に「知る機会を提供」してしまうのを防ぐための重要な施策です。

実は、脆弱性の報道も同じなのです。

何らかの脆弱性が見つかったとします。
それを、マスコミが大々的に「○○に重大な脆弱性があるんです！」とやると、悪意を持つ犯罪者たちがそれを機会に、脆弱性を利用した攻撃を仕掛けてくる可能性があります。

つまり、報道しなければ、誰も気付いていない状態で済んだのに、報道されることで、逆に狙わられる可能性を高めてしまうわけです。

いくら報道の自由があるとはいえ、このような報道が世のため、人のためにならないのは明白です。

これを抑制するためのガイドラインが行政主導で作成されています。


2. 情報セキュリティ早期警戒パートナーシップガイドライン

えらく長いですが「情報セキュリティ早期警戒パートナーシップガイドライン」というのがそれです。

これは、経産省とIPA（情報処理推進機構）などが作成／発表したガイドラインで、脆弱性を発見した時に取るべき手順を定義したものです。

脆弱性というのは、基本的にはソフトウェア（一部にハードウェアも）のバグであり、その修正はメーカの技術者が行うしかありません。

一般の人々にとって脆弱性を発表されたって、何も対処はできません。
取りうる唯一の手段は、そのソフトウェアやハードウェアを使わないようにすることです。

ですが、こういった脆弱性は、実は毎日のように発見されています。
いえ、それどころか、毎日に何十、何百というペースで脆弱性は見つかっています。

でも、多くの方はそんなこと知りません。
というか、こんなの毎日気にして過ごさなければいけないなんて、考えられません。

これだけの脆弱性があるにも関わらず、平和に過ごせるのは、犯罪者がのんびりしているから…、ではありません。

犯罪者に知られないよう、非公開のままに発見者と技術者の間で情報共有を行う仕組みがあるからです。

この仕組みこそが「情報セキュリティ早期警戒パートナーシップガイドライン」なのです。


3. 脆弱性情報の共有と秘匿

日本では、IPAという団体が中心となって、脆弱性情報を非公開のうちに連携が取れるような体制を組んでいます。

脆弱性が存在している間、脆弱性情報は関係者、例えばソフトウェアの製造元、バグの発見者（報告者）、IPAだけで共有し、公表はしません。
そして、ソフトウェアの製造元による修正が完了し、その修正プログラムの配布体制が万端整ってから、公表するという形を取ります。

つまり、脆弱性をうかつに洩らさずに、関係者間だけで共有する仕組みが作られているのです。

なお、IPAというのは、このメルマガで何度も出てきていますが、独立行政法人情報処理推進機構という団体です。情報処理技術者試験やITパスポート試験といえば、ご存知の方もおられるかもしれません。

国内の情報セキュリティ対策にも、注力していて、このガイドラインもそういったセキュリティ対策の一環です。

このガイドラインは技術者間では、つとに有名な話で「脆弱性を見つけたらIPAに報告」はセキュリティ技術者の間では常識です。


4. 脆弱性の修正に要する期間

脆弱性の対応に必要な期間はバグの性質によって、全く違ってきます。

短かいもの（かつ重要なもの）であれば、数日で対応される場合もありますし、影響範囲が広く、スグに被害が広がる可能性が低い場合は、数ヶ月後となることもごくふつうです。
（あまりに発生の可能性が低い場合は、対応しない場合もあるようです）

IPAがバグの発見者からの報告で脆弱性情報を受理すると、その情報を製造元（今回ならソニー）に詳細を伝えます。
受理した企業はその事実確認を行った上で、修正スケジュールを決め、スケジュールに従って対応作業を行います。

FeliCaの場合は、ソニーの一社で済む話ではありません。FeliCaを使ったシステムにも影響がありますから、関係する会社（鉄道会社や流通系のカードを発行している会社）と連携しつつの対応が必須です。

ことはバグ修正に終わりません。というかバグ修正なんて対応のごく一部に過ぎません。

既存のシステムでどこまで防げるのか、どんなトラブルが起きうるのか、それぞれのトラブルにはどんな形で対応するのか、といったことを考えなくてはなりません。
これはバグ修正どころではなく、運用設計の領域です。

また、仮にバグを修正するなら、それを既存のカードに反映するのか？新カードを発行するのか？その費用負担は誰が？カードリーダ（改札機）側の修正は不要か？必要ならその更新スケジュールは？動作検証は誰が？などなど、考えることはいくらでもあります。

バグ修正だけなら、数日でできるかもしれませんが、安全に運用できるようにしようとすると、多くの利害関係者との連携や交渉が欠かせません。

こう考えると、関係者間の合意を得るのに3ヶ月かかっても何の不思議もありません。


5. FeliCaの報道の疑問点

今回の一連の報道は、共同通信の発表が発端だったようです。

この記事によりますと、2025年の7月に上記のガイドラインに従って、アンノウン・テクノロジーズという会社から、IPAに報告があったようです。
まず、アンノウン・テクノロジーズがIPAに7月に報告をしてから、今回の報道(8/28)までに1〜2ヶ月しか経っていません。

そう考えると今回の報道が妙だと気付きます。

時間軸が合っていないんですね。

今回のソニーや鉄道会社の対応には時間を要することが明らかです。

つまり、アンノウン・テクノロジーズ側は、まだソニー側の修正が完了できておらず、発表できるタイミングではないことを十分に知っていたはずです。
にも関わらず、アンノウン・テクノロジーズ側から（非公式にでも）情報を洩らしたのだとすれば、ガイドライン違反になるかもしれません。

もっとも、アンノウン・テクノロジーズの社長さんは若い方ですし、こんな大騒動になるとは考えてなかったかも。だとすると、脇が甘かったとはいえ、ここも被害者なのかもしれません。

一方で、今回の報道を流した共同通信は、どうにもいただけません。
第一報の共同通信に続いて、同様の報道を行ったマスコミ各社も同様で、とてもほめられたものではありません。

仮にもマスコミなのです。
自分達の報道が社会に与える影響は熟知しているはずです。

もちろん、ガイドラインの存在も知らないはずがありません。
にも関わらず、未修正であることを承知の上、脆弱性情報を報道してしまった。
この点は実に残念です。

筆者はこのガイドラインには、２つの目的があると思っています。
一つは、脆弱性を犯罪者に利用させないという点、もう一つは、日常的に脆弱性情報に気を使わなくてもいいという点です。

一般の方々が安心してIT機器が使えるのは、皆がこのガイドラインに沿って対応を行っているからです。
しかも、このガイドラインは私企業が作ったものではなく、公的に（税金を投入して）作ったものです。
その目的からして、マスコミもこのガイドラインを遵守すべきであることは明白です。

脆弱性対応に日夜努力している、全ての技術者達の思いは同じです。
全ての人に安心してIT機器やソフトウェアを使って欲しいのです。

その思いに応える報道であって欲しいと心から願います。


6. まとめ

今回は、マスコミに対する強い批判となってしまいました。
「罪を憎んで、人を憎まず」ではありませんが、せっかくここまで育ててきたガイドラインなのです。
専門家の間では常識化したガイドラインでも、まだまだ周知が足りないとのだと改めて思います。

秘密を守って対応を進めていた当事者の皆さんは、さぞ残念だったろうと思います。
それはソニーや鉄道会社だけでなく、IPAや経産省も同じでしょう。

こんなことが二度と起きないように、マスコミの皆さんには再度ガイドラインの確認を、そして経産省やIPAの皆さんにはガイドラインの一層の周知をお願いしたいと思います。

今回は、FeliCaの報道に関しての筆者の見解を述べました。

次回もお楽しみに。

今日からできること：

　・情報機器の脆弱性を怖がりすぎない。
　・「情報セキュリティ早期警戒パートナーシップガイドライン」の存在を知る。
　・マスコミ報道が必ずしも正しいとは限らない。

（本稿は 2025年9月に作成しました）