toshiki

サイゼリヤ脆弱性のIPA通報、僕は素直に賛成できない

· Zenn #130

高校生がサイゼAPIのOSSを公開→第三者がIPA通報した件。発見者の倫理より、設計と通報文化を見直したい。

  • #security
  • #ethics
  • #disclosure
  • #ipa

#なぜ今日これを選んだか

技術的にも倫理的にも引っかかる一件。Rust + ハードウェアでセキュリティに踏み込んでいくなら、自分の中で「責任ある開示」のスタンスを言語化しておきたい。誰がどこまで責められるべきか、整理しないまま進むのは怖い。

#要点

  • 高校生がサイゼリヤの認証不備を含むAPIを使うOSSをXで公開していた
  • 別のエンジニアがそれをIPA脆弱性届出制度経由で通報
  • 著者は「不正アクセス禁止法に抵触し得る、IPAへの届出が正しい手順」と主張

#自分にとっての示唆

通報そのものは制度として大事。でも今回のように、OSSという形でオープンに公開されているコードに対して、まず作者本人やサイゼリヤ側へ直接連絡せずいきなりIPAに上げる動きは、自分には少し攻撃的に映る。脆弱性を生んだ一番の責任はサイゼリヤ側の設計にあって、発見して可視化した高校生を法的リスクで詰める前に、コミュニティとして「責任ある開示の合意」を作る方が先のはず。今回の手順を「正しい」と一枚岩で語るのは、結果的に技術に興味を持った若い人を萎縮させる効果の方が強くなりかねない。自分がこの分野に進むなら、まず自分のコードに同じ穴を作らないこと、そして見つけた人を罰する側ではなく、一緒に直せる文化を作る側でいたい。