経産省やJPCERT/CCなどが脆弱性関連情報の取り扱いに関する注意呼びかけ

　経済産業省、JPCERTコーディネーションセンター（JPCERT/CC）、情報処理推進機構（IPA）、国家サイバー統括室は、脆弱性関連情報を取り扱う全てのユーザーに対し「情報セキュリティ早期警戒パートナーシップガイドライン」に則した対応を取るように注意を呼びかけている。

　経済産業省は、ソフトウェアなどのコンピュータ不正アクセスやコンピュータウイルスの攻撃による企業活動の停止や情報資産の滅失を抑制するため、脆弱性関連情報（脆弱性情報、検証方法、攻撃方法のいずれかに該当する情報）を発見した場合の取り扱いを示した「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」を策定している。

　この内容を踏まえ、IPA、JPCERT/CC、電子情報技術産業協会（JEITA）、ソフトウェア協会（SAJ）、情報サービス産業協会（JISA）、日本ネットワークセキュリティ協会（JNSA）が、「情報セキュリティ早期警戒パートナーシップガイドライン」を策定している。

　こちらのガイドラインでは、不特定多数の人々に被害を及ぼす脆弱性が悪用される可能性を低減できるよう、関係者に推奨する行為がとりまとめられている。具体的には、発見された脆弱性関連情報が無関係な第三者に漏れないよう、関係者（発見者、IPA、JPCERT/CC、製品開発者やWebサイト運営者）の間で適切に管理し、製品開発者やWebサイト運営者による検証・対策実施が済んだうえで公表する。

　発表では、脆弱性を発見したユーザーは受付機関のIPAへ届出を行うとともに、正当な理由がない限り脆弱性関連情報を第三者に開示せず、正当な理由により開示が必要である場合も事前にIPAに相談するよう呼びかけている。

　加えて、製品開発者やWebサイト運営者などに対しても、責任ある情報開示とそれに向けた必要な関係者との協調・協力を求めている。具体的には、同ガイドラインの趣旨への理解と公表前の脆弱性関連情報への慎重な取扱いが必要であることを認識のうえ、報道やSNSでの発信などを通じ、むやみに第三者に開示することは控えるよう呼びかけている。