経済産業省は2025年9月9日、独立行政法人情報処理推進機構(IPA)、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)、国家サイバー統括室と連名で、ソフトウェアなどの脆弱性に関する情報を取り扱う際は慎重な対応を取るよう呼びかける声明を発表した。
今回の要請は、報道機関やSNSでの脆弱性関連情報の扱いが議論を呼んでいる状況を踏まえたもの。
背景と目的
脆弱性が不正アクセスやウイルス攻撃に悪用されると、企業活動の停止や個人情報の流出など重大な被害につながるおそれがあるとされている。
こうした事態を防ぐため、経済産業省は「ソフトウェア製品等の脆弱性関連情報に関する取扱規程」を定めている。
この規程に基づき、IPAやJPCERT/CC、業界団体などが策定した「情報セキュリティ早期警戒パートナーシップガイドライン」では、脆弱性が発見された際の正しい手順がまとめられている。
情報は無関係な第三者に漏れないように管理し、製品開発者などが対策を終えた上で公表する流れが推奨される。
声明のポイント
脆弱性を発見した際は、まずIPAに届け出ることを求められており、正当な理由がない限り、第三者への開示は控える必要という。
開示が必要な場合でも、事前にIPAへ相談するよう呼びかけている。
また、製品開発者やウェブサイト運営者には「責任ある情報開示」を行うとともに、関係機関との協力を重視するよう要請。
報道機関や産業界に対しても、ガイドラインの趣旨を理解し、未公表の脆弱性情報をむやみに公開しないよう注意を促した。
今後の対応
政府は今後、IPAが主催する研究会で脆弱性情報の取り扱いに関する改善点を議論するとしている。
また、2025年5月に成立した「サイバー対処能力強化法」に基づき、脆弱性対応の強化が進められる予定となっている。
IPAは「情報の扱い方次第で被害の拡大を防げる」ことを強調しており、企業や報道関係者だけでなく、一般の個人においても冷静な情報発信や正しい理解が求められる。
【参考記事】
https://www.meti.go.jp/policy/netsecurity/vul_request.html