■セキュリティホールの公開はセキュリティ業界ではよくあることなの？

　セキュリティホールを発見したセキュリティ研究者やハッカーがその事実を一般に公開するのは、結論から言えば、よくあることです。しかしその発表方法は、悪意の攻撃者による即日アタック（0-day exploit）を誘発しないよう、一定の手続きを踏んで行うべきだという姿勢が業界内で育まれてきました。

　現在ネットワークセキュリティ業界では、部外者がセキュリティホールを発見した場合、まずその事実を当該サービスの運用者だけに通知し、相手方の対応が終わった段階で（あるいは終わっていてしかるべき時期に）詳細を公表するのが暗黙のルールとされているようです。これを猶予期間付き完全開示主義（full disclosure）といいます。

　今回の事件では、office氏はACCSに脆弱性を通知する前にA.D.2003でこのホールを公表し、かつ実際の個人情報が載った資料も公開しています。この会場で運用されていたサーバから4人分の個人情報を含むpptデータが少なくとも12人（A.D.200Xの報告による）に流出し、そのひとつが1/27に2chアップローダにアップロードされています（「実ファイル名を書くとwinnyなどの検索対象とされる可能性があるのでは」という指摘を受け、ファイル名を削除しました）。

　またASKACCSのログを調査した警視庁は、2/6になって「A.D.2003の会場でこの報告を聞いた複数の参加者（もしくはその参加者から情報を得た第三者たち）が、会合終了直後の3時間以内に同じ手法で合計7回データ読み出しを行った疑いがある」と発表しています。office氏の脆弱性公開の手順と情報管理には問題があり、その結果として当該情報の二次流出を招いてしまったという事実は否めないでしょう。