脆弱性通報に実名は本当に必要なのか？

　被害を最小限にすることを優先するなら、通報者が誰であろうと即対処すべきと考えるのは民間企業なら当然だ。しかし、独立行政法人の場合は、手続きが優先するらしい。今回、日本の情報セキュリティ意識を変えるキッカケになって欲しいと思い、取り上げることにした。

どんな脆弱性を通報しようとしたのか

　通報した脆弱性とは、ホームページを構成するHTMLファイルにある種の文字列を記述するだけで、該当ホームページを閲覧したユーザのブラウザの動作を不能にするもの。一般にブラクラ（ブラウザ・クラッシャ）と呼ばれるもので、今回は、マイクロソフトのInternet Explore バージョン6、つまり旧バージョンを使っている利用者が被害に遭遇する可能性がある。

　マイクロソフトは最新版を勧めているし、無償でバージョンアップすることができるが、多くの利用者はバージョンアップをしていない。メーカーが最新版に運用保守体制を移しつつある中で、旧版に脆弱性が発見されるケースは珍しくない。こうした脆弱性は最新版への移行を促進する効果を持っている。

　その意味では、今回の脆弱性は、アプリケーション（ブラウザ）のダウンであって、システム自身をダウンさせたり、情報を外部に漏えいさせる極悪な脆弱性に応用されるタイプではない。通報者は、十分に考慮した上で自らのブログで公開に踏み切っている。いわば確信的な行動だ。そして、その通り事は進みつつある。

ＩＰＡより実効性があるブログの活用

　ブログに公開されてからは、各種ブログに引用が行われ、ＩＰＡが形式的な処置しか行っていないことまで明らかとなった。通報者は、ＩＰＡとの経緯を自らのブログに載せている。以下のＵＲＬから閲覧できる。

　http://d.hatena.ne.jp/Hamachiya2/20070130/ipa2

もし民間企業だったら

　対応は異なる。民間企業にも、通報制度を設けている企業が多い。これは社内不正を糾し、法令順守（コンプライアンス）を確実にするためだ。民間企業では、匿名でも受け付けている。それは何故か？組織（民間企業）に与える被害を最小限に食い止めることが目的だから。匿名が許されると、イタズラされると思う人もいるかもしれない。でも、それを回避するテクニックが多数あり、受付窓口の担当者は既に身につけている。だから、イタズラに振り回されることは起きないのである。

独立行政法人ＩＰＡの対応は、お役所的なのが問題

　ブログに掲載されたＩＰＡからの返事のメールが真実であるなら、決められた書式に沿って記入されなければ受理されない、お役所対応であることがわかる。実は著者自身も過去に脆弱性の報告をしたことがあるが、「対象外」ということで受理してもらえなかった経験がある。その時は、海外の匿名メールサービスを利用し、メーカーに脆弱性を知らせた。幸いなことに、メーカーは該当製品の出荷を停止して被害の
拡大防止に貢献してくれた。もし守らなければ、脆弱性が搭載されたシステムの回収騒ぎに発展する事態が起きたかもしれない。なぜなら、ＩＰＡですら対象外と判断した脆弱性であり、著者でも発見できた程度の脆弱性だったのだから。

なぜ匿名で通報しなければならないのか

　情報セキュリティの場合、脆弱性の発見者の多くが、政治的に弱い立場にいることが多いからだ。例えば、某OSメーカーに属するインスペクタ（検査人）は、自社のバグチェックを行っているが、プライベートではＡ社のソフトを特に意識せず使っていた。ある日、Ａ社の新ワープロソフトのアップデートが届いて動かしたら、その振る舞いから脆弱性の存在に気づいた。ところが、某ＯＳメーカーに勤務している事実がＡ社に伝われば、営業妨害と誤解されてしまう。

　独立法人であるＩＰＡにだって、複数のメーカーから出向して仕事している人がいるので、名前はもちろん、身分を明かすことはできない。よって、匿名という方法を使うのである。政治的に立場の弱いケースとして、情報セキュリティに携わっている派遣社員、仕事を請け負っている受託業者などのエンジニアの場合だってある。

　その逆に、実名で名前が出せるのは、以下のような人達となる。
・アカデミックな人達
・経営者
・個人で責任がとれる立場の者（コンサルタント）
　このため、実名でセキュリティの専門家となるとアカデミックな人が多いのはこのためだ。

脆弱性を親切に教えても感謝されるとは限らない

　もし脆弱性を発見しても、感謝されることを期待してはいけない。逆に、その脆弱性による損失を通報者に被せようとする組織も存在する。私自身、幾つもの修羅場を経験しているので、そんな組織に出くわしても回避する術を知っているが、未成年であれば親、中高校生であれば、組織は学校を通して脅しをかけてくることがある。脆弱性を知らせるだけの親切心が、自分の将来に悪影響を与えないようにすべきだ（学校推薦の取り消しにならないように）。脆弱性は、相応のリスクがあることなのだ。

ＩＰＡは匿名でも受け付けるようにすべきである

　ＩＰＡは脆弱性に関する受付を実名でしか受理しない方針は改めるべきだと思う。さもなければ、今後はブログによって脆弱性が公開されることになる。国内にサーバがあれば本人を特定することは容易い。しかし、国外にある日本と交流が少ない国のブログに移っていくのは時間の問題だ。

　そして、日本と交流が少ない国というのは、本当の意味でセキュリティに関係する国でもある。そこに脆弱性が書き込まれるようになることは、日本の情報セキュリティにとって安全といえるのか？そこまで踏み込んで、ＩＰＡは検討して欲しい。