「本事案ですがさすがに関係各所がブチ切れているようで経産省 国家サイバー統括室 IPA JPCERT/CCの連名で声明が出てます
技術者倫理のない発見者と報道してしまった共同通信社はどうやって責任取るのか気になる所ですね」
https://x.com/JCB_354/status/1965359025824170157
脆弱性情報、勝手に開示しないで 経産省などがクギを刺す FeliCaの事例念頭か
https://www.itmedia.co.jp/news/articles/2509/09/news110.html
「【解説】ここ数日の流れについて。
・FeliCa(交通系ICカードとかのピッてやるやつ)に,割とまずい情報セキュリティ上の問題をみつけた人(以下,発見者)がいました。
・発見者は,然るべき関係機関に届けました。そこまではいいんです。
【続きます(1/3)】
【続き】
・『情報セキュリティ早期警戒パートナーシップガイドライン』というルールがあります。
・届け出にもルールが,例えば “問題が片付くまでは内密にしておく” 旨があります。
・なのに発見者は,某報道機関にペラペラ喋ってしまい,某報道機関もスクープ的に報じました。
【続きます(2/3)】
【(3/3)続き】
・発見者は「情報処理安全確保支援士」という,それなりに責任ある立場でもありました。
・某報道機関はFeliCaの会社にも取材を敢行。会社側は困惑。
・9月9日,ルールは守ってねというお願い(実質,おこ)が経済産業省とIPA((独)情報処理推進機構)から出ました。
【ここまで】」