ワクチン接種予約システム不備をめぐる報道…セキュリティの専門家はどう見る 脆弱性を見つけたときの対処法は
新型コロナのワクチン接種をめぐり、東京・大阪の大規模集団接種センターの予約システムに不備があることが5月に報じられ話題になりました。この報道をめぐっては、センターを運営する防衛省が一部メディアに抗議文を送付するなど、さまざまな議論を呼びました。ネットでは「不正にシステムを利用した取材は犯罪ではないか」「模倣犯を生み出しかねず問題が多い」といった指摘も見られましたが、情報セキュリティにかかわる人たちにはどのように感じられていたでしょうか。私たちが今回のようなシステムの不備や脆弱性を発見したときにはどうするべきか、望ましい「対応策」とあわせて聞きました。
今回のシステムの不備は、ワクチン接種の予約手続きに、適当な番号を入力しても手続きができてしまうこと。5月17日から18日にかけて相次いで報じられましたが、それを受けて防衛省は18日、朝日新聞出版と毎日新聞の2社に抗議文を送付。岸信夫防衛大臣はTwitterでも「不正な手段により予約を実施した行為は、本来のワクチン接種を希望する65歳以上の接種機会を奪い、貴重なワクチンそのものが無駄になりかねない極めて悪質な行為」と両社を批判していました。
情報処理安全確保支援士で作家の井二かけるさんに、お話を聞きました。井二さんは、京都と姫路の間に路線を持つとされる架空の中堅私鉄「京姫鉄道株式会社(京姫鉄道)」を舞台に、情報セキュリティ対策に奮闘する社内エンジニアのどたばたを描くアニメ「こうしす!」を手がけるなど、情報セキュリティの問題を分かりやすく紹介することに取り組まれています。
■今回の取材手法は「不正アクセス」にはあたらない
-ワクチン接種の予約システムの不備を報じた報道が問題になりました。適当な番号を入力して予約できることを試したことについて、「不正アクセスで犯罪だ」という人もいるようです。
あくまで情報セキュリティにかかわる者の私見ではありますが、今回の件は「不正アクセス禁止法」には抵触しないと考えています。不正アクセス禁止法で禁じられているのは、本来はアクセス制限によって利用できない機能や情報などを、他人のパスワードを使用したり脆弱性を突いたりして、利用できるようにしてしまうことです。したがって、デタラメな情報を入力するだけでは成立しないと考えられます。
正直、今回のケースは、誰でも気がつくような内容ですし、適当な番号を入力して予約できることは、防衛省が「仕様である」とも説明していました。厳密にいえば、そもそも不正アクセスを招くような「脆弱性」があったとはいえない状態です。一方で、法律の専門の方から見れば、業務妨害を引き起こしたなどの理由で、ほかの罪にあたる可能性があったかもしれません。
■脆弱性を見つけたら…開発元・運営者・IPAに連絡を
-日ごろから私たちはさまざまなシステムを使って生活しています。偶然システムの不備や、脆弱性につながるようなことを見つけることもあると思いますが、そういうとき、一般的にはどうすればいいのでしょうか。
セキュリティに詳しい企業や、セキュリティの専門家であれば別ですが、一般論として、個人がいきなりSNSでつぶやくなど、「脆弱性の情報」を公表するのは避けたほうがよいでしょう。
もしも公表するにしても、できれば事前に連絡をして「猶予期間」を与え、少なくとも具体的な手法などは修正の猶予を与えた後に公表するのが望ましいです。そうしなければ、かえって被害が増えてしまうリスクが高いためです。
-まず連絡するのはどこになるのでしょうか。
脆弱性を発見したときに連絡したほうがよいといわれているのは、IPAといった略称で呼ばれている「独立行政法人 情報処理推進機構」です。
IPAでは、経済産業省の告示に基づき、コンピュータウイルス・不正アクセス・脆弱性情報に関する発見・被害の届け出や情報提供を受け付けており、被害の拡大・再発の防止などに取り組んでくれます。ただ、IPAへの届け出だけでは時間を要してしまうため、システムの開発元・運営者にも同時に連絡するほうがよいでしょう。
開発元や運営者に一個人として連絡しても「無視」されることがありますので、「IPAに届け出した」ということを沿えて伝えると、「悪意がないことのアピール」や、一種の「プレッシャー」になるのでより良いと思われます。
…ただ、IPAに届け出るのは義務ではありません。また、届け出制度を活用したとしても、IPAが法的に守ってくれるわけではありません。
-脆弱性を指摘したりIPAに届け出を出すことに、なにかリスクがあるのでしょうか?
脆弱性の可能性があることを偶然気づくことはあると思いますが、その脆弱性がどのようなものなのか「検証」するには、実際に「攻撃」してみないと分かりません。その行為が違法になるか、ならないかどうかはケースバイケースだと思われます。脆弱性を通報するということは、ある意味「やってはいけないことをやった」と自白するようなものですので、どうしても法的なリスクからは逃れらないところがあるのです。
そうでなくても、契約や秘密保持義務に抵触するケースもあるでしょう。例えば勤務先のシステムに問題を見つけた場合、いきなりIPAに通報すると就業規則違反になる可能性があります。IPAの届け出制度は公益通報制度とはまた別ですので、匿名性もありません。
■今回の報道について「結果オーライだったが…」
-今回の報道について、あらためてどう思われますか。
単にデタラメな情報を入力できてしまうという程度のことなら、自分であれば即時に公表したかもしれません。業務妨害を誘発するリスクはありますが、むしろ不具合があるという注意喚起を早期に行うほうが、トータルで公益に資するとも考えられるためです。しかし、これがより大きな問題であった場合には、話が変わってきます。
-といいますと?
例えば「SQLインジェクションの脆弱性」を発見した場合などです。
「SQLインジェクションの脆弱性」とは、サイト内のフォームに不正な命令を入力したりすることで、データの漏えいや改ざんを行えたりする状態になっていることです。入力を細工することでデータベースから情報を盗んだり、データベースの内容を改ざんするといった「攻撃」が可能です。
そういった重大な不備であれば、明らかに公表に伴うデメリットが大きいので、自分であれば開発元、運営者、IPAに報告するにとどめ、公表は控えると思います。
-公表のメリットとデメリットを考える必要があるということですね。
いろいろな立場があると思いますが、最終的に「被害を最小限にすること」が何よりも大切なことです。このあたりの感覚は人によって違いますし、状況によっても変わってきます。大騒ぎしたほうが、結果的に被害を最小限にとどめられるということもありえます。しかし、メリットとデメリットを「自己判断」できないのであれば、広く公表するのは避けたほうが無難だと思います。
今回の報道のケースでは、結果オーライでした。しかし、情報漏えいを伴うようなもっと重大な脆弱性だった場合には、深刻な事態に陥ったかもしれません。報道の意義は認めるものの、情報セキュリティにかかわる立場としては、もう少し慎重に進めたほうがよかったのではないかとも感じます。
■一方で「報告を受けた側の姿勢も問われる」
-ところで、報告を受けた側はどうすればよいでしょうか。報道では「防衛省とシステム委託先の会社に見解を求めたものの、明確な回答が得られなかった」としていました。
脆弱性の報告を受けた側はよい気分はしないし、どうしても問題を認めたくないという心理が働いてしまいますね。誰がその報告に対応するのかさえ決まっておらず、回答が遅れるということもありえます。報告者に悪意を感じてしまう場合もあるでしょう。
ただ、適切かつ迅速に対応しなければ、せっかく報告してくれた人がしびれを切らし、予期せぬ方法で情報を公開してしまうということもありえます。
あらかじめ迅速に対応する備えをしておくことです。そして、報告者に対しては感謝し、明確な「対応期限」を伝えることが大切です。必要であるなら、影響の大きさを伝えて、期限まで公表を控えるよう要請してもよいでしょう。ただし、その期限はずるずると伸ばさないことです。こういった対応をするのに必要なコストを考えると、決して簡単なことではありませんが、脆弱性の対応には、報告を受けた側の姿勢も問われると思われます。