メディア
Microsoft 365
生成AI
クラウドERP
ゼロトラスト
HRTech
PC管理
RPA BANK
課題から探す
カテゴリから探す
記事一覧
ITキャパチャージ

知ってるなら教えてよ……、政府が脆弱性を隠し続ける理由とは?:819th Lap

サイバー攻撃に真っ先に狙われるため、ハードやソフトウェアで脆弱性が発見されれば、ベンダーや専門機関がユーザーに対して速やかに周知するのが一般的だ。だが、政府によって数十件もの脆弱性が隠されていたという。

» 2025年03月07日 07時00分 公開
[キーマンズネット]

 脆弱(ぜいじゃく)性の中で厄介なのが、存在が開発者やベンダーに認識されていない「ゼロデイ脆弱性」だ。企業が対策を講じる前にサイバー犯罪者が悪用すれば、重大なインシデントに至る可能性がある。

 米国政府は2023年に数十件ものゼロデイ脆弱性を発見しておきながらも、その存在を明かしていなかったという。政府が確認している脆弱性は、本当にそれで全てかという疑問も持ち上がっている。ユーザーに影響を与えかねない脆弱性をなぜ隠していたのか?

 米国政府はゼロデイ脆弱性を発見しても、必ずしも全てを公開するわけではないという。その理由は、NSA(国家安全保障局)やFBIといった政府機関が脆弱性を悪用する恐れのあるサイバー攻撃者を監視するためだけでなく、諜報活動で政府機関自身がその脆弱性を悪用する可能性もあるからだ。

 米国では「Vulnerabilities Equities Process」(VEP)という仕組みによって、米国政府が公表するか否かを判断するのだが、その透明性が問題視されてきた。「国家安全保障のため」という名目で公開されない脆弱性が少なくないからだ。だが、発表されなければゼロデイ脆弱性を抱える製品やサービスを提供するベンダーは不利益を被りかねない。

 政府は「VEPで判断した脆弱性の90%以上を公開している」と主張するが、その根拠は不透明で、米国市民の多くが懐疑的だった。そのため幾度か法改正を実施し、政府はVEPに関する情報を開示する法案「国家防衛権限法の改正法116-92の第6270条」を定めた。国家情報長官に対し、VEPに関する年次報告書の議会への提出を義務付ける法案だ。

 この法案に基づいたと思われる文書が発見された。その文書には「VEPに基づき2023年に開示された脆弱性の総数は39件だった」と記されている。サイバーセキュリティやハッキングなどに詳しいジャーナリストKim Zetter氏が運営するセキュリティ情報サイト「Zero Day」でこの件が報告された。

 Zero Dayは2025年2月6日に「U.S. Government Disclosed 39 Zero-Day Vulnerabilities in 2023, Per First-Ever Report」(米政府、初の報告書で2023年に39件のゼロデイ脆弱性を公表)という記事を公開した。タイトルからも分かる通り、米国政府がVEPにかかわる資料を公開したのはこれが初めてだそうだ。

 2023年にVEPの裁定を受けた脆弱性が合計で何件あったか、つまり開示された脆弱性以外の、隠されたゼロデイ脆弱性が何件あったかが明確ではないことを指摘。また文書には「39件のゼロデイ脆弱性のうち10件は過去にVEPの裁定を受けていた」と書かれていたことから、「2023年以前にそれらのゼロデイ脆弱性を確認していたが故意に隠していたと考えるべきだ」としている。

 そして、トランプ新政権がサイバー攻撃作戦を強化するとされているため、今後、VEPの内容が開示されなくなるのではとも予測している。政府機関が発見したゼロデイ脆弱性は攻撃手段になる可能性があるからだ。

 もちろん、政府だけではなくベンダーや一般ユーザーが脆弱性を発見することもある。だが、政府だけが知っている脆弱性があると思うと、少しモヤモヤするだろう。

 ちなみに日本では、2004年より「脆弱性届出制度」に基づいて発見された脆弱性はIPA(情報処理推進機構)に報告されることになっている。発見した脆弱性を政府が隠し、VEPと同様の判断をすることはないそうだ。ただ、政府機関(防衛省や警察庁など)が発見したゼロデイ脆弱性を公表することなく活動に使ってはならない、という決まりはないらしい。今後は日本政府もVEPのような制度を定め、サイバー攻撃対策にゼロデイ脆弱性を活用する時代が来るかもしれない。


上司X

上司X: 米国政府が独自に発見した脆弱性が、2023年の1年間で39件もあったそうだよ。


ブラックピット

ブラックピット: 39件って多いんですかね?


上司X

上司X: 全てがゼロデイ脆弱性だとしたら、まあまあ多いのではないかな。


ブラックピット

ブラックピット: なるほど。


上司X

上司X: ただ、その数で全てなのかということが疑問視されているようだ。


ブラックピット

ブラックピット: まあ、立場が立場なら隠すでしょうけど。


上司X

上司X: そうだな。国内のサイバー犯罪対策や今後の国家間のサイバー戦争に使われることを想定すれば、ゼロデイ脆弱性の情報を政府だけが握っておくことは重要なのだろう。


ブラックピット

ブラックピット: でも、それを隠していることで重大な問題が起こっていなければいいんですが。今回は件数のみの発表で、どんな脆弱性だったかは明かされてはないんでしょう?


上司X

上司X: そうだな、あくまで数の報告のみだ。しかも報告書は正式に公表されたものではなく、議員間での共有文書がリークされたようなものだしな。今後はいずれ日本でもこういう問題が起こるかもしれないから、しっかり心に留めておこうじゃないか。

川柳

ブラックピット(本名非公開)

ブラックピット

年齢:36歳(独身)
所属:某企業SE(入社6年目)

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ(中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった)。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X(本名なぜか非公開)

上司X

年齢:46歳
所属:某企業システム部長(かなりのITベテラン)

中学生のときに秋葉原のBit-INN(ビットイン)で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR(でも中古らしい)。人懐っこく、面倒見が良い性格。


Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。