個人情報漏えいにつながる脆弱性を報告したら法的責任を示唆する文書が届いたとエンジニアが告白

ダイビングインストラクターでもあるプラットフォームエンジニアのヤニック・ディクスケン氏が、加入しているスポーツ保険会社のポータルサイトで深刻な個人情報漏えいにつながる可能性のある脆弱(ぜいじゃく)性を見つけて報告したところ、保険会社のデータ保護責任者から「刑事犯罪になりうる」などとする文書が届いた経緯を自らのブログで公開しました。

I found a Vulnerability. They found a Lawyer. | Blog | Yannick Dixken
https://dixken.de/blog/i-found-a-vulnerability-they-found-a-lawyer

ディスクケン氏によると、脆弱性に気付いたきっかけはインストラクターとして学生を登録した際の手続きでした。学生向けに送られたメッセージに記載されていたユーザーIDが連番の数字になっていることからIDの推測が容易だと感じ、検証を進めたと述べています。

問題のスポーツ保険会社のポータルサイトは「連番の数字からなるユーザーID」と「全アカウント共通の初期パスワード」を組み合わせてログインできる構造で、初回ログイン時のパスワード変更は任意、レート制限や、複数回ログインに失敗した際に一時的にアカウントをロックするロックアウト機能、多要素認証もない状態だったとのこと。

このことから、数字を推測して初期パスワードを入力するだけで氏名・住所・電話番号・メールアドレス・生年月日などのプロフィール情報へアクセスできる可能性があったとディスクケン氏は述べています。

未成年のデータも含まれることから影響が大きい問題であると考え、ディスクケン氏は2025年4月28日にマルタのインシデント対応組織であるCSIRT Maltaとポータルサイトを運営するスポーツ保険会社に報告しました。報告にあたっては受領確認を一定期間内に返すよう求めたほか、「再現情報や検証結果は暗号化した形で共有できる」と伝え、連絡窓口やITセキュリティ用の問い合わせ先を整備するよう提案したとしています。

なお、マルタの(PDFファイル)協調的脆弱性開示ポリシーには「脆弱性が確認できた場合、発見者がCSIRTMaltaと責任主体の双方へ書面で報告する」という手順が示されており、ディスクケン氏はこのポリシーに沿う形で対応を進めています。

2日後、スポーツ保険会社のIT担当からではなく、データ保護責任者となっている法律事務所からディスクケン氏のもとに文書が届きました。その文書は脆弱性に関する調査開始の旨や初期パスワードのリセット、二段階認証導入の予定に触れつつも、「当局に先に知らせたことで複雑さが増し、組織が不当な責任を負うことになる」などと不満が記されており、さらに「(発見者の行為は)マルタ法上の犯罪に該当する可能性がある」といった趣旨で責任の追及を示唆する内容だったそうです。

加えてスポーツ保険会社側は「入手データを削除したことを証明すること」「脆弱性について一切公表しないこと」「脆弱性の報告経緯を秘密にすること」といった内容の宣誓書への署名と、パスポートIDの提示を当日中を期限として求めてきたとのこと。ディスクケン氏は入手データ削除の証明には応じる姿勢を示しつつも、報告経緯を秘密にする条項には同意しないとして拒否し、条項を修正した文面での合意を提案したとしています。

ディスクケン氏はこうした組織側の対応が脆弱性の報告者を黙らせ、結果として通報をためらわせる萎縮効果を生むと指摘しています。また、スポーツ保険会社側が「パスワード変更は利用者の責任」といった考え方を前提にしているように見えた点も問題視しています。加えて、初期パスワードが全員共通で、変更も強制されず、推測しやすい連番IDと組み合わさっていた以上、設計側が防ぐべきだったとディスクケン氏は主張しました。

最終的に脆弱性は修正されて初期パスワードはリセット、二段階認証も導入が進んでいるとのことですが、影響を受けた利用者へ通知されたかどうかを確認できていないとして、ディスクケン氏は組織に追加で問い合わせを行っているそうです。

報告した側が法的圧力で萎縮させられる構図は珍しくありません。組織側の最初の反応が法務主導だと、技術的に直すことよりも「トラブルにならないよう抑え込む」空気が強い組織に見えるとディスクケン氏は指摘しています。