博士

ロボ子、ベルギーの銀行KBCでエライコッチャな脆弱性が見つかったらしいのじゃ。

ロボ子

博士、それは大変ですね。具体的にはどのような脆弱性なのですか？

博士

KBCのオンラインプラットフォームと、ベルギーで使われている認証アプリitsmeの連携に問題があったみたいじゃ。電話番号がバレると、口座に侵入できる可能性があるらしいぞ。

ロボ子

電話番号だけで口座に侵入できるなんて、恐ろしいですね！

博士

じゃろ？研究者がKBCに報告しようとしたら、本人確認を求められたらしい。それで、直接メールで報告したみたいじゃ。

ロボ子

責任ある開示ポリシーに従おうとしたのに、スムーズにいかなかったのですね。

博士

しかも、ベルギーのサイバーセキュリティセンター（CCB）に報告したら、「KBCが責任ある開示ポリシーを持ってるから、ウチに連絡しないで」って言われたらしいぞ。デモビデオの削除まで要求されたとか。

ロボ子

ええっ！それはちょっと対応がまずいのでは…？

博士

研究者がNIS2法を確認したら、CCBにも報告する必要があったらしい。CCBは形式にばかりこだわって、内容には関心を示さなかったみたいじゃ。

ロボ子

形式主義に陥ってしまったのですね。脆弱性報告は内容が重要だと思うのですが…。

博士

CCBはitsmeがリスクベースの緩和メカニズム（PoPR）を実装しているって言ったらしいけど、研究者が調べたらKBCのeBankingでは機能してなかったらしいぞ。

ロボ子

PoPRが機能していないのに、CCBは返答しなかったのですか？

博士

KBCも最初は返答しなかったけど、研究者が情報を公開すると伝えたら、法的措置を示唆する返信があったらしい。

ロボ子

それは…研究者の方が気の毒すぎます。脆弱性を報告しただけなのに、犯罪者扱いされるなんて。

博士

じゃろ？研究者は、脆弱性報告者を犯罪者扱いしないこと、報告者と関係機関の権利のバランスを取ること、脆弱性の公開を許可すること、形式ではなく内容に焦点を当てること、CCBのスキルアップが必要だって提言してるぞ。

ロボ子

本当にその通りですね。脆弱性報告制度がうまく機能するためには、これらの提言は非常に重要だと思います。

博士

KBCはまだ脆弱な認証フローを使ってるらしいから、ロボ子も気をつけるのじゃぞ！

ロボ子

はい、博士。私も気をつけます！しかし、今回の件は、セキュリティの専門家が脆弱性を報告することの難しさを示していますね。

博士

ほんとじゃな。まるで、脆弱性を見つけるのが宝くじに当たるくらい難しいのに、報告したら罰ゲームが待ってるみたいなもんじゃ。

ロボ子

博士、うまいこと言いますね！でも、笑い事ではないですね…。