FeliCaの“脆弱性”報道はなにが問題なのか

FeliCaを採用したサービスの1つであるSuica。JR東日本はSuicaシステム全体で様々なセキュリティ対策を実施しており、引き続き安心して利用して欲しいとコメントしている

ソニーの非接触IC技術であるFeliCaに脆弱性が発見された。2017年以前に出荷された一部のICチップでデータの読み取りや改ざんが実行される可能性があるというものだった。ただし、FeliCaは様々な決済などのサービスの一環として構築されるため、それぞれのサービスごとのセキュリティレベルによって影響度合いは異なるという。

実際、ソニーの発表を受けてFeliCaを採用するサービスを提供する各社は、多くがサービスとして安全で安心して使えるとの発表を行なっている。

とはいえ、今回の発表が問題なのは、ソニー側ではなく、この脆弱性情報を公開した一部のメディアにある。果たして、メディアの責任を果たす報道だったのか。

ソニーの発表文

20年以上運用されてきた脆弱性届出制度

今回のソニーの発表のきっかけとなったのは、共同通信が報じたニュースだ。「関係者への取材で分かった」としており、どうやら脆弱性の発見者から情報を得ていたようだ。

この脆弱性情報は、「情報セキュリティ早期警戒パートナーシップガイドライン」に基づいて7月下旬に情報処理推進機構(IPA)経由でソニーに報告されたようで、指摘を受けたソニーは脆弱性の存在を確認し、その後の対応を行なっていた。その最中に共同通信が報じた、というのが今回の経緯だ。

情報セキュリティ早期警戒パートナーシップガイドラインは、2004年7月に整備された脆弱性関連情報の届出制度のガイドライン。経済産業省の告示「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」(2014年7月)に基づいて制定されたものだ。

ソフトウェアやWebサイトの脆弱性を発見した人や組織は、IPAに情報の届出を行ない、その後はIPAが確認と検証を行なう。その情報をJPCERTコーディネーションセンター(JPCERT/CC)が調整機関として事業者などと調整した後で公表日を決める。最終的にポータルサイトを通じて脆弱性情報を広く公開する、というのがこの仕組みだ。

ガイドラインは、IPA、JPCERT/CCに加えて、電子情報技術産業協会(JEITA)、情報サービス産業協会(JISA)、日本パーソナルコンピュータソフトウェア協会(JPSA)、日本ネットワークセキュリティ協会(JNSA)という業界総出で発行されており、このガイドラインに基づいて届出制度が運用されている。

この制度は、20年以上に渡って機能してきた。脆弱性の発見者がいきなり情報を公開して脆弱性の存在を明らかにし、犯罪者の攻撃に悪用されないようにすることに加え、例えば個人の開発者が大企業の製品の脆弱性を発見した場合に、その報告に対処されないといった問題にも対応できるようになるという仕組みでもある。

発見者と開発者の間にIPAやJPCERT/CCが入り、調整した上で適切なタイミングで脆弱性を公開し、適切に対応を進められるようになっている。

ガイドラインはこれまで13回に渡って改定されており、最新版は2024年6月の第13版。その中では発見者、開発者のそれぞれに対して、ガイドラインに沿った対応が求められている。

発見者に対しては「脆弱性関連情報を正当な理由がない限り第三者に開示しない」という「情報非開示依頼」が掲げられている。正当な理由があって第三者に開示する場合は、「事前にIPAに相談」との一文もある。発見者には適切な情報の管理も求められている。

製品開発者は、JPCERT/CCから脆弱性関連情報を受け取ったら、製品への影響を調査し、脆弱性検証を行ない、JPCERT/CCに報告することが求められている。その後、脆弱性の公表スケジュールをJPCERT/CCと相談し、製品開発者へ初めて連絡された日から45日後を目安に公表することとなっている。

そして最終的には、IPAとJPCERT/CCが、脆弱性情報と脆弱性検証の結果、対策方法・対応状況を公表することになる。

第三者が報じることの是非

そして今回の報道が行なわれた。ガイドラインでは、発見者、製品開発者(ソニー)、IPA・JPCERT/CC以外は第三者である。発見者は第三者に開示せず、適切に管理するよう求められているが、第三者である共同通信に開示し、その結果、公開となった。

ソニーは、7月下旬の連絡以降、脆弱性の検証や関連事業者との協議も進めていたようだ。これは、報道以降の1～2日という短期間で、JR東日本などの交通事業者や楽天Edyなどの電子マネー事業者など20社近くが脆弱性の影響に関して発表をしていることからも分かる。

報道が出たのは8月28日。7月下旬の報告からすると45日も経過しておらず、対応が極端に遅いとはいえないだろう。関連する事業者も多いことから、45日以上の時間を要する可能性もある(ガイドラインでは延長も認められている)が、いずれにしても報道の時点で45日は過ぎておらず、ソニーの対応に時間がかかりすぎているということもなさそうだ。対応状況に発見者が納得していなかった可能性はあるが、記事内にそうした記述はないようだ。

背後の経緯はともかくとして、第三者の共同通信に情報が開示され、正式な情報開示前に共同通信が報じたことになる。別の記事では、第三者のセキュリティ企業に脆弱性の検証を依頼したとあり、さらなる公開までしている。

これまでも、発見者が脆弱性を発見して自ら公開した例は多い。ただ、今回は脆弱性情報をIPAに届け出ていながら、共同通信のような一般メディアに開示して報道によって公開されたというのは珍しいだろう。

共同通信は、その状況で自らソニーに連絡をしたらしい。記事では、取材に対してソニーが脆弱性を認めたとしている。

すでに対処中で、発見者からの情報を得た取材に、ソニー側としても嘘を回答するわけにはいかなかったのだろう。共同通信は「ソニーは共同通信の指摘を受けて公表した」と書いているが、ガイドラインに沿った公表に向けた取り組みの最中で、「共同通信が報じるので仕方なく一部の情報を公表した」というのが正確だろう。

ガイドラインに従えばソニーは公表するタイミングをJPCERT/CCと協議した上で決める必要があり、本来は公表するタイミングではなかったはずだ。報道で情報を公開されたことから、脆弱性の詳細には触れない形で、ユーザーへ安心して利用できることを伝えることにしたようだ。

こうした取り組みに従い脆弱性情報を公表するJVN。日々、新たな脆弱性情報が公開されており、アップデートで修正するなどの解決策や攻撃の回避策が記載されている

脆弱性の詳細に触れないのは理由がある。共同通信が報じて、ソニーも認めているとおり、今回の脆弱性ではデータの読み取りや改ざんが実行される可能性があるというもので、まだ回避策が判明していない状況で詳細を公開すると、それを悪用したゼロデイ攻撃が出てくる危険性がある。

共同通信の配信記事では、実際に書き換えられたFeliCa搭載カードを示した記事も掲載されており、攻撃の可能性を示して「数分で偽造」「生活に浸透、混乱必至」「深刻な事態」などと危険性を煽っている。

EGセキュアソリューションズ取締役CTOの徳丸浩氏は、ゼロデイ脆弱性を公表する大義名分としては「危険な脆弱性を報告したが、放置されていて危険である。なので利用者の安全のために、回避策とともに脆弱性情報を公表する」といったものがあると説明。今回は対策に時間がかかっている可能性は指摘しつつ、現状それだけでは公表する大義名分としては不足しているという。

そのうえで徳丸氏は、「今回の問題を公表したからと言って、この脆弱性を悪用した攻撃が急に増えるとは思えない」としつつ、「『公開することにより安全性が増すか』というと、(記事には)特に回避策も提示されていないようなので、利用者を不安にさせるだけで、安全には寄与しないという結果になっている」と指摘。「そこが問題」だとした。

ソニー側も現時点で回避策を公表していないが、そもそもそういった情報を調整した上で公開するのがガイドラインの目的で、その調整が済んでいない状況なので公表できない段階にあるということだろう。

攻撃が簡単であれば、回避策のない中で脆弱性の存在を公表するだけで危険度は増す。逆に攻撃が難しく、公表しても攻撃が増えないというのであれば、今度は記事の「インフラへの信頼を揺るがす極めて深刻な事態」などの煽りとの整合性がとれなくなるため、ますます共同通信が事前に報じる意義があるようには見えない。

メディアが報じる意味があるのはどういった場合なのか。

SBテクノロジーの辻伸弘氏は脆弱性の第三者公開について、「いたずらに恐怖を煽ったりすることで不安を与えることや、情報が不正確であったり、対策がセットとなっていないなど不足があるというものはやはり公開するべきではない」と指摘。徳丸氏と同様の見解で、やはり必要な情報を適切に伝えることが重要だろう。

とはいえ、ガイドラインに従った結果、「既に被害が発生しているにも関わらず、それらの悪用の実態と対策を知らせず時間だけが過ぎていくという状況を生んでしまうことは避けなければなりません」と辻氏は言う。

こうした点も踏まえると、メディアが報じるには、「事業者が脆弱性を意図的に隠蔽している」「発見者の報告を無視している」「すでに攻撃が広まっている」「結果として利用者が危険にさらされている」「公表することによる被害の低減が急務であり、それを促す」といった条件が必要だろう。

今回は一方的に共同通信が報じたが、辻氏は「緊急度にあわせて政府機関とメディアが連携し国民に伝える仕組みが必要ではないか」と提案。内容も、危険を煽るだけの報道ではなく、適切に広く情報を提供する意識が必要になりそうだ。

ソニーは現時点で被害の報告はないとしており、共同通信も特にそうは書いていないため、公表時点でゼロデイ攻撃は検知されておらず、攻撃が広まっているわけではなかった模様だ。この状況で脆弱性が存在することを明らかにするメリットはほぼない。

当事者であるIPAもソニーも、現時点ではガイドラインに基づいた調整中のため、取材に対してほとんど回答はない。

一般論としてIPAは、「基本的にパートナーシップとして取り組みを開始した場合は発見者や開発者などの勝手な情報公開は避けるべき」と強調。今回のような事例が1件発生したからといって制度が形骸化しているとは言えない、とする。

共同通信の記事では、発見者がIPAに脆弱性情報を報告したことが記載されており、共同通信は当然このガイドラインの存在を知っていたはずだ。それを無視して公開するほどの強い動機が共同通信にあるのか。

記事ではソニーの対応に不備があったような言及はないため、問題は脆弱性公開によって利用者の安全を高められるかだが、その点においても記事は、「脆弱性が危険」だというばかりだった。

実際のところ、この報道を見て犯罪者が攻撃を思い立って被害が発生する、という可能性は高くないだろう。報道で書かれた「極めて深刻な事態」とまでは言えないが、共同通信は「FeliCaで何も起きなかったので、脆弱性情報はいくら公開しても問題ない」と思い込んで、今後致命的な脆弱性を公開してしまう可能性があるのではないか。

情報セキュリティ早期警戒パートナーシップガイドラインにおいては、発見者が秘密にすることや開発者が対処することなどの強制はできないとしており、IPAはこの制度が「関係者の協力のもとで成り立つもの」と説明している。

仕組み上、メディアは関係者ではないが、だからといってガイドラインを完全に無視しても許されるのか。後追い取材をするメディアや、今後他社に先んじようというメディアは、今一度立ち止まる必要がある。

「信頼を揺るがす極めて深刻な事態」は一連の報道そのものであり、第三者であるメディアは、「特ダネ」の時だけ報道するのではなく、必要な情報を適切に広く報道する仕組みを検討すべきだろう。