2025年10月30日、「世界初!暗号領域の情報が読み取れるSuicaビューア公開」という衝撃的な発表がX(旧Twitter)で大きな注目を集めました。しかし、このニュースに触れた多くのセキュリティ専門家は、その内容以前に、発表を行った企業の姿勢に強い懸念を抱いたのではないでしょうか。
問題となっているのは、アンノウン・テクノロジーズ株式会社です。同社は過去にもFeliCaの脆弱性を発見し、7月に関係機関へ報告したものの、修正が完了する前の8月に共同通信の取材に応じて未公開の脆弱性情報を公表し、物議を醸しました。これを受けて9月には経済産業省が、情報処理推進機構(IPA)と連携し、脆弱性情報の取り扱いに関する注意喚起を改めて行う事態にまで発展しています。
脆弱性を発見された方は、受付機関であるIPAへの届出を行っていただき、正当な理由がない限り脆弱性関連情報を第三者に開示せず、正当な理由により開示が必要である場合も事前にIPAに相談いただくようお願いいたします。
今回の発表は、こうした経緯を無視するどころか、さらに問題を深刻化させるものです。本稿では、なぜこの企業の行動が「ブラックハット的」と批判されるのか、その論点を整理し、セキュリティ企業に求められるべき倫理とは何かを考察します。
論点1: 無視された「責任ある開示」の原則
セキュリティの世界には、**「責任ある開示(Coordinated Vulnerability Disclosure, CVD)」**という、発見した脆弱性を扱うための世界共通の倫理規範が存在します。これは、脆弱性の発見者、製品開発者(ベンダー)、そして調整機関(日本ではIPA)が連携し、修正パッチが一般に提供されるタイミングで情報を公開するという、社会全体の安全性を最大化するための協調的なプロセスです。
アンノウン・テクノロジーズ社の行動は、この大原則を完全に踏みにじるものです。修正前に情報を公開することは、悪意ある第三者に攻撃のヒントを与えることに他ならず、ユーザーを無用な危険に晒す行為です。経済産業省が指摘する「正当な理由」とは、既に大規模な攻撃が発生しており、注意喚起が急務であるといった「今そこにある危機」に限定されるべきです。それ以外の理由でExploit(攻撃コード)に類する情報を公開することは、無責任の誹りを免れません。
実際、CEOがビューアに書き込み機能を付けていない、理由として「絶対残高を書き換える奴が出るので禁止してある」としていますが、経験上、読み込み系の機能があれば、ある程度、そこから、書き込みの機能を類推するのは可能です。つまり、コードの悪用可能性は十分認識しているはずです。そのような、状態で責任を負えるでしょうか?
| ステップ | 善意の技術者(正規のCVDプロトコル) | アンノウン・テクノロジーズの行動(逸脱パターン) |
|---|---|---|
| ① 発見・報告 | 脆弱性関連情報を発見後、まず中立機関であるIPAに届出し、情報を秘匿する。 | 脆弱性関連情報を発見後、IPAに届け出た後、あるいは前に情報を保持する。 |
| ② 調整・通知 | IPAはJPCERT/CCに通知。JPCERT/CCは秘密裏に製品開発者(ベンダー)を特定し、対策を依頼する。 | このプロセスを尊重せず、秘密裏に行われている調整の途中で動く。 |
| ③ 修正期間 | 製品開発者が対策パッチを作成する間、発見者は情報を第三者に漏らさない(非開示義務)。 | この修正期間中に、一般メディア(共同通信)やSNS(X)へ情報を開示・宣言する。 |
| ④ 公表 | 修正パッチが利用可能になったことを確認した上で、発見者・調整機関・ベンダーが同時に情報を公表する。 | 修正が完了する前に情報を公表し、社会的な混乱とベンダーの緊急対応を誘発する。 |
| ⑤ 目的 | 社会全体のリスクを最小化し、ユーザーの安全を最優先する。 | 技術的なアテンション(注目)とビジネス上の宣伝効果を最優先する(と見なされる)。 |
論点2: 社会インフラを揺るがす無責任な行為
FeliCaは単なるICカード技術ではありません。日本の交通や決済を支える 極めて重要な社会インフラ の一部です。その根幹技術の信頼性を一方的に毀損する行為は、技術的な興味やビジネス上の利益をはるかに超えた、重大な社会的責任を伴います。
今回の件で、ソニーや関連事業者は、本来不要であったはずの緊急対応や調査に多大なリソースを割かざるを得なくなりました。こうしたコストは、巡り巡ってサービス利用料や製品価格に転嫁され、最終的には社会全体が負担することになります。技術的な脆弱性以上に、セキュリティコミュニティの信頼関係を破壊し、社会に無用な混乱とコストをもたらした「迷惑」は計り知れません。
論点3: 信頼を損なうFUDマーケティング
「世界初!」「衝撃的な発表」といった扇情的な言葉は、冷静かつ客観的であるべきセキュリティの報告には不要なものです。むしろ、こうした表現は、顧客の不安や恐怖を煽り、自社のサービスを売り込む FUD(Fear, Uncertainty, and Doubt)マーケティング の典型的な手法と見られても仕方ありません。CEOがXで「世界初!」と宣言した行為そのものがどう見てもアテンション中毒です。
真に顧客の安全を考えるプロフェッショナルは、いたずらに恐怖を煽るのではなく、静かにリスクを分析し、着実な対策を提示することで信頼を得ます。すべての行動が 「アテンション(注目)を獲得し、それをセールスに繋げる」 という短絡的な目的に集約されているように見える姿勢は、長期的な信頼関係を基礎とするセキュリティビジネスの倫理観とは相容れないものです。
論点4: 信頼性の根幹を揺るがす経営実態
さらに、同社の信頼性に疑問符を付けるのが、その経営実態です。
衝撃の事実①:資本金1万円 サイバーセキュリティは、顧客の事業継続に直結する極めて重要な領域です。その責任を担う企業が、事業継続性や万が一の際の補償能力を全く感じさせない資本金額であることは、事業へのコミットメントを疑わざるを得ません。
衝撃の事実②:バーチャルオフィス 登記上の住所である「東京都千代田区九段南」は、調査の結果、**コワーキングスペースの住所貸し(バーチャルオフィス)**であることが確認されています。物理的な拠点の有無が問題なのではありません。高度な機密情報を扱うセキュリティ企業が、その実態を曖昧にしかねないサービスを利用しているという事実が、顧客の信頼を損なうのです。
これらは、高度な専門企業を装う 「見栄(外見)」と「実態(資金力と責任感)」 の深刻な乖離を示しており、組織としての信頼性を根底から揺るがすものです。
結論: 我々は何を基準に専門家を選ぶべきか
アンノウン・テクノロジーズ社の一連の行動は、IT業界に身を置く者として、レッドラインを越えています。これは、技術力さえあれば何をしても許されるという、危険な前例になりかねません。
企業や個人がセキュリティの専門家やパートナーを選ぶ際には、その技術力だけでなく、高い倫理観、社会に対する責任感、そしてそれを裏付ける安定した経営基盤 を持っているかどうかを、これまで以上に厳しく見極める必要があります。今回の事例は、その重要性を改めて我々に突きつける、重い教訓と言えるでしょう。