JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は8月7日、「なぜ被害公表時に原因を明示するのか/しないのか~個別被害公表と事案全体のコーディネーションの観点から~ - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ」において、情報システムへの不正アクセスなどで悪用された脆弱性の情報公開について、個別の被害公表時の扱い方などを紹介した。
悪用された脆弱性に関する情報の被害公表時の取り扱いは、「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会」において議論されており、具体的な内容はこちらの策定文書から知ることができる。
-
なぜ被害公表時に原因を明示するのか/しないのか~個別被害公表と事案全体のコーディネーションの観点から~ - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
JPCERT/CCによると、2023年8月4日に公表された「内閣サイバーセキュリティセンターの電子メール関連システムからのメールデータの漏えいの可能性」について、報道やソーシャルネットワーキングサービス(SNS: Social networking service)上で、脆弱性の詳細について明かされないことへの疑問が指摘されているという。
これを受け、JPCERT/CCはこのガイダンスの存在とその内容を解説することで、このような対応が全体としては結果的に適切であることを解説している。また、非公表とした情報が完全に秘匿され続ける可能性は低いとのガイダンスの内容を指摘しており、必要に応じて適切に対応されることを示唆している。
JPCERT/CCは、複数の組織が同一の原因で不正アクセスをうけた場合に国内全体でコーディネーションを行うことの重要性と、JPCERT/CCがその名の通りコーディネーションも行う組織であることを解説している。しかしながら、メールデータ漏えい事案に関しては、JPCERTコーディネーションセンターは本件調査に関与していないとしており、この件のコーディネーションはしていないものとみられ、部外者の立場から情報公開のあり方について解説している。
不正アクセスに関する報道に触れた場合、自身への影響の有無を確認するために詳細な情報公開を求めるのが通常の対応だが、必ずしも速やかな公開がその先の全体の利益となるとは限らない。もちろん隠蔽は行うべきではなく、適切なタイミングで必要な情報公開をおこなうために判断の指針としてガイダンスを活用することが望まれている。
