確かに本件の共同通信はやり過ぎである。

 

www.itmedia.co.jp

共同通信が8月28日夕方に配信した「FeliCa」の脆弱性に関する記事が話題になっている。当初はFeliCaが持つ暗号システムを破ってデータ改ざんが可能になるという速報ベースのものだったが、独自と題した続報では旧式のシステムが持つ暗号鍵の脆弱性を利用することで、新型のシステムにおいても攻撃が可能という詳細記事が配信された。

 

翌29日に地方紙などに配信された記事では実際に交通系ICカードの残高を変更したスクリーンショットが掲載されるなど、より報道がエスカレートしている。

 

これは別に問題を隠蔽していて、報道が出たからしぶしぶ情報を出して存在を認めたというわけではなく、コンピュータを利用したシステムには必ずついてまわる「脆弱性」による被害を最小限に抑えることを目的とした、情報処理推進機構（IPA）の「情報セキュリティ早期警戒パートナーシップガイドライン」にのっとった行動による。

 

(中略)

 

なぜこのような面倒な手順が推奨されているのかといえば、いきなり脆弱性が世間一般に公開された場合、これを利用した攻撃手段が悪意ある第三者によって開発され、より被害を広げる結果になるからだ。これはセキュリティに関して世界共通の推奨ルールであり、ソニーをはじめとする各社は全て同じ行動を採った理由だ。

 

記事や各社ニュースリリースを読めばわかるが、「脆弱性はある+その脆弱性を突くためには各社のシステム側を改ざんする必要がある」である。つまりシステム全体としては安全性が担保されている状況は継続している。

 

久しぶりにはてなブックマークを利用してみる。

b.hatena.ne.jp

 

個別の事例の話としてはさておき、一般論としては正しくて、「いつまで経っても対応しない」からあえて報道する、以外の理由で「スクープだ！報道して社会問題にするぞ！」というのは報道機関としてはおかしい。 - NOV1975 のブックマーク / はてなブックマーク

 

ですよねえ。今回一番の問題は共同通信の報道姿勢だと思います。公共性が何ひとつない。今だとこの報道を利用した詐欺の方が被害がでかいまでありうる。専門家を名乗るアンノウン・テクノロジーズの行動は総会屋ぽい - TakamoriTarou のブックマーク / はてなブックマーク

 

この脆弱性を発見したいう「アンノウン・テクノロジー」や代表の切敷裕大氏でググると、いろいろ疑いたくなってしまうなぁ。 - JULY のブックマーク / はてなブックマーク

 

リークしてしまう報道機関はIPA・JPCERT/CCの早期警戒パートナーシップを全くもって理解できてないよね／連絡がつかない場合や修正されない場合は、修正を待たず公知になるフローも存在するし、過去実績もある - Rambutan のブックマーク / はてなブックマーク

 

こういう技術系の話題になると、上に来るのは真っ当なコメントが多いので使いやすい。