JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)はこのほど、「サイバー攻撃被害に係る情報の意図しない開示がもたらす情報共有活動への影響について - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ」において、サイバー攻撃に関する被害の情報が公表前に報道されるなど、報道のあり方を巡って混乱がみられ、相談や不安の声が増えていると報じた。JPCERT/CCはこの状況を改善するため、「被害組織以外で被害情報を扱う関係者」が留意すべき点を提示、関係者に理解を求めている。

「被害組織以外で被害情報を扱う関係者」が留意すべき点

「被害組織以外で被害情報を扱う関係者」が留意すべき点の概要を次に示す。

「協調された開示」は情報を効率よく活用する仕組み

海外では情報を速やかに発信したい発見者と、調査と修正などの準備期間を設けたいベンダとの間で衝突することがあり、修正前に脆弱性が発表されることもあった。このため、「協調された脆弱性開示(CVD:Coordinated Vulnerability Disclosure)」が採用され、脆弱性情報が意図しない拡散により悪用されることを防止し、「相互信頼に基づく情報の流通」が双方のメリットになるとの共通認識が醸成された。

攻撃技術情報を効率よく「消費」する仕組み

サイバー攻撃における通信情報やマルウェア情報などの「攻撃技術情報」は、速やかな情報共有により被害の拡大を防止することに役立つ。また、被害事実や対応経緯の公開やステークホルダーへの連絡も被害組織の目的を達成するために必要。これからは情報を先に知っていたことが評価されるのではなく、分析の質が評価される。このため、情報を独占したり都合に合わせて開示する必要性は低下する。

情報共有活動が「壊れる」とき

情報共有は相互の信頼関係によって成り立っている。情報が被害組織の意図しない形で公開された場合、被害組織は情報共有に消極的にならざるを得なくなる。また、情報漏洩元が不明の場合、ほかの組織も被害発生時に情報共有に消極的となる。これはサイバー攻撃への対処を遅らせる要因となり、全体にとってデメリットとなる。

「サイバー攻撃被害情報」は誰のものなのか

サイバー攻撃におけるさまざまな情報は誰のものでもない。被害組織、行政機関、セキュリティ専門組織、研究者、メディアなど「サイバー攻撃被害情報」に接する関係者はそれぞれの役割の中で連携して情報を活用することが求められる。被害組織が制御できない形で被害情報が扱われ、被害組織が不利益を被ることや二次被害を発生させることは絶対に避ける必要がある。情報の受信者の中には攻撃者がいることを忘れてはならない。

JPCERT/CCはサイバー攻撃に関するインシデント対応を行っている組織に対し、情報共有や被害公表に関する懸念、不安点があれば相談してほしいとしている。また、経済産業省から「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の関連成果物が公開され、パブリックコメントが開始されている(参考:「サイバー攻撃による被害に関する情報共有の促進に向けた検討会 (METI/経済産業省)」)。