大手企業の脆弱性を発見、対策をされない場合、一般公開をするとまずいですか？

日本の大手企業(報道機関)の脆弱性を発見しIPAに通知してから会社への通知が行われたと報告がありました。会社への通知から約1ヶ月経過しますが全く対策がされません。脆弱性情報の交流サイトにケーススタディーとして公開したいのですが問題ありますか？

No.3 回答者： neKo_deux 回答日時： 2021/06/22 10:03

セキュリティ会社が、脆弱性の指摘を無視された結果、攻撃プログラムを公表したって事例。

おゆみ野四季の道 新 - (24.7.1) 　クローズアップ現代　サイバー攻撃でインフラが乗っ取られている。
http://yamazakijirounew.cocolog-nifty.com/blog/2 …

| アメリカには制御システム専門のセキュリティー会社があり、何度もその脆弱性を指摘したが（そして当社と契約を結ぶように説得したが）、企業がまったく無視したので、ついに最後の手段として制御システムの攻撃プログラムを公表してしまった。

ちなみに、相手の会社は日本の会社。
騒ぎになったけど、海外の会社が相手で、刑事事件とか損害賠償請求案件になったって記憶は無いです。


これと別に、個人が同じような事やらかしたってのがあったような？混同してるような？


最近の有名な事例だと、ワクチンの予約システムで架空の番号なんかで予約取れるシステムの不備を朝日新聞、毎日新聞で報道された事例。
事件化はされていないけど、政府から法的措置を匂わせる発言もあります。
また、政府の発言で、

| 接種を希望する人の機会を奪うもので、

ってのは、新聞社が検証のために別の番号入力したのは速やかに(システムがまともなら)キャンセルされてるって事ですがら、記事を見た別の人が同様の行為を行うのを想定してるって考えるのが妥当。
極端な話、どっかの愉快犯とか跳ねっ返りとか私とかが、ふざけて大量の予約入れてたら、新聞社の責任が問われかねないとか。

こちらの場合は、質問者さんも主張したいであろう「公益性」の他に「報道の自由」があるので、事件化されるかどうかはビミョーです。


質問者さんの立場は、上のいずれとも異なる(そして弱い立場)でしょうから、どうなるかはわからない。

--
> 脆弱性があることを公開するだけです。これが問題か否かです。

それによって、重大な影響が出る可能性を知りながらって事だと、「未必の故意」って事になる可能性はあります。
まぁ、仮に裁判になったとして、適用されるケースは少ないし、よっぽど特殊で重大な事例でないと対象にならないですが。

Legalus - 未必の故意って何だろう？
https://legalus.jp/criminal/criminal_procedure/e …

| 未必の故意の具体的な例としては次のようなケースが考えられます。「これを飲めば人が死ぬかもしれないが、かまわない」と認識しながら、ペットボトル入りのジュースに除草剤を入れて、公園のベンチに放置しておいたところ、これを拾って飲んだ人が数日後に死亡した、というような場合です。誰かが拾う前にジュースが処分されてしまうかもしれませんし、拾ったとしても飲まれない可能性もあるので、確定的な故意があるとまではいえず、未必の故意とされます。

＃個人的な所感だと、除草剤は故意性が高いかもですが…。例が難しい。

--
> 脆弱性情報の交流サイトにケーススタディーとして

参加者や閲覧者が不特定多数だと、影響が大きくなる可能性があります。

参加者や閲覧者の人数、住所氏名は分からないにしても、せめて参加者のメールアドレスくらい確認出来るような、小さくてクローズなコミュニティとかで、まずは議論とか。
自分が思いつくのは、昔懐かしいメーリングリストくらいしか思いつかないけど、そういう情報に関連しててSPAMとかで埋もれてない所って、探すのも大変かも。
スマホじゃ、そういう議論するのしんどいし。


あるいは、

> なお、IPAを通じてすでに連絡済みです。

そういうルートか、企業宛てに連絡して、
「これこれこういうケーススタディに利用させていただきたいと思います。
　問題があるなら、ご連絡ください。」
とかって、一方的に許諾を得とくとか。

この回答へのお礼

実はそのワクチン記事を見てからです。当初脆弱性の公開は酷いなぁーと思い、よくよく記事を読むとIPA連絡後に公開で正当性があるとか言っており妙に納得しました。その解説の解説サイトにIPA通報窓口があるので連絡した感じです。せっかくなので、以前からその関連企業に脆弱性があるのでせっかくなので通報しました。
ただ、IPAにに連絡して企業にまで連絡されたとIPAから連絡があったのですが未だに改善されず、あれだけ報道していたのに同じ状態でなんとも・・・と思ったりもしています。
ただ、同じことをやっても良いかについては、仰るように個人ですので下手に巻き込まれると損というのが大きいですね。
ただ、法律的に公開してもいいのかは気になっています。実際、その報道機関あたりは同じことやっていますので・・・
また、IPAから連絡しても通報者に経過報告などが来ないのですね。お礼メールくらいは来るとちょっと期待していたのですがそんなものなのかなぁーという気もしています。
ただ、この脆弱性は逆手に取ればライバルの報道機関よりもやや有利になりますので、対策をしたくないという事情のある微妙(といってもココ以外はやってない)な脆弱性だったりします。

お礼日時：2021/06/22 16:28

No.2 回答者： neKo_deux 回答日時： 2021/06/21 21:46

フツーに業務妨害になると思うけど。

--
> 会社への通知から約1ヶ月経過しますが全く対策がされません。

それで腹立てて事件起こすって事例が時々あります。

Wikipedia - 全日空61便ハイジャック事件
https://ja.wikipedia.org/wiki/%E5%85%A8%E6%97%A5 …

| 事件の1カ月前に羽田空港（～）の構造図により、～へ乗り換える際の手荷物・所持品検査に関わる警備上の欠陥を発見した。
| ～それを指摘する文書を当時の運輸省・全日空・～と大手新聞社など6カ所に宛てて送付した。～提言も無視された。


ネットワーク上のセキュリティの問題点を指摘したが無視されて、腹立てて事件起こしたって事例もあったと思うけど、ちょっと見つからない。

この回答へのお礼

本人が事件を起こせばそのまま犯罪でしょう。私の想定とは全く異なります。

OSなど一定期間後には公開されていたりしますし。

脆弱性があることを公開するだけです。これが問題か否かです。
なお、IPAを通じてすでに連絡済みです。十分な期間をあければ企業としてはそれは問題がないと考えているわけで公開しても問題ない気もするのです。

ただ、今回のは脆弱性と言ってもその脆弱性を逆手に取ってライバルの会社よりもやや有利に報道をしていますので、あえて対策をしたくないという事情もあるかもしれません。

お礼日時：2021/06/21 22:28

No.1 回答者： satoumasaru 回答日時： 2021/06/21 17:20

一般例としてこのような企業があるということは、ケーススタディとして後悔しても問題はないと思います。

しかし企業名や報道機関であることは書かない方がよいでしょう。サイバー攻撃の目標を与えるようなものですから。

でもその企業ものんびりとしていますね。苦情処理係に電話しても良いと思いますけれど。

この回答へのお礼

脆弱性と言ってもサイバー攻撃の対象にはならないタイプです。まぁやり方次第ではなりますが基本的にはならないタイプです。

また、今回のは脆弱性と言ってもその脆弱性を逆手に取ってライバルの会社よりもやや有利に報道をしていますので、あえて対策をしたくないという事情もあるかもしれません。ただ、ライバルから見ればやり方が汚いと映るかもしれませんが・・・

お礼日時：2021/06/21 22:29