【IPA】脆弱性を突く手口、「見つけたらまず開発者やIPA窓口に報告して」 コロナワクチンの架空予約巡り [少考さん★]
■ このスレッドは過去ログ倉庫に格納されています
※ITmedia NEWS
脆弱性を突く手口、IPA「見つけたらまず開発者やIPA窓口に報告して」 コロナワクチンの架空予約巡り
https://www.itmedia.co.jp/news/articles/2105/18/news145.html
2021年05月18日 20時26分 公開
https://image.itmedia.co.jp/news/articles/2105/18/l_th_ipazeijaku_01.jpg
IPAは脆弱性の存在をネットで公開しないよう求めている(出典:IPAの公式動画)
大規模会場を使った新型コロナワクチンの接種予約システムで架空の予約ができてしまう問題について、IPA(情報処理推進機構)は5月18日、取材に対し「脆弱性や手口を不特定多数に公開するのは望ましくない」とコメントした。脆弱性を発見した際は「まず開発者やIPAの窓口に報告してほしい」という。
【修正履歴:2021年5月18日午後9時25分 IPAがITmedia NEWSの取材に回答したものであるため、表現を一部変更しました】
脆弱性情報は、開発者が脆弱性を直すために必要な情報である一方で、攻撃に悪用される恐れがある情報でもある。このためIPAは「発見時は開発者に報告し、極秘事項にすること」とし、「報告せずに、脆弱性の存在をネット上にいきなり公開することは絶対に行ってはいけない」としている。また、攻撃者と疑われる可能性があることから「善意であっても必要以上に調査しないこと」ともしている。
IPAでは脆弱性を報告する専用窓口を設置し、情報提供を求めている。
(略)
関連リンク
IPAの通報窓口
https://www.ipa.go.jp/security/vuln/report/index.html
IPAの脆弱性発見時の行動に関する解説動画
https://www.youtube.com/watch?v=ZQnR3jJIHeI
(略)
※省略していますので全文はソース元を参照して下さい。 あれ脆弱性とか言って良いレベルなの?
最初からノーガードやんww 安全なwebサイトの作り方すら読んでないみたいですよ自民の人達は
なんとか言ってやってipaさん 三回間違えたら同一環境変数ロックとか
やってみたら以外に効くでー >>3
脆弱性とかそーゆー次元のシロモノではないなw おれ情報処理安全確保支援士もどきだけど、
悪いことするなよ 最初から知ってたって開き直ってるから通報しても隠蔽してただろうがよ appleとかバグを見つけたら1億円とか報奨金出してるわけだが、IPAバカなの? 五輪開催阻止からの解散選挙政権奪還!!
これが狙いだからそんな事するわけない。どんどん妨害して一向に進まなくさせるのが狙いだから >>8
テロリスト朝日新聞出版ハシゲ社長辞任と
毎日変態ちんこしゃぶり新聞はテロリストだから
正常な行為だぞ >>1
【修正履歴:2021年5月18日午後11時5分 記事初出時、架空予約できることのみが「脆弱性」としていましたが、同手法がセキュリティ上の欠陥を突いているかは議論の余地があります。本件に関しては「SQLインジェクション」などの攻撃が可能という情報もあることから、タイトルと本文の表現を修正しました。】 ぱよぱよち〜んの元ネタの人ってセキュリティ関係だよね 中国とかISISに
いきなり攻めないでねハァト
って言えよw >>11
登録してないってことか?
登録すると金を払って得られるのが重い責任と義務だけでうまみがまるでないという そんなことしたら余計な業務増えて生産性悪くなることが理解できないようだ 俺の家は鍵かけてないけど泥棒に入らないで家主か警察に連絡しろって?
そもそも日本語でそんなことを書かれてもww >>1
善意を期待するとか脆弱性とかごまかしてるけど、
これは手抜き工事だろ 世界に向かってIT後進国宣言しちゃったも同然。恥知らずのIPAは解散しろ。国賊。 >>31
そもそもドアがなくて開けっ放しなレベルだろ。でもそれをいうとしょっ引かれるという(笑) こんなん脆弱性でもなんでもないわ
ちゃんとテストぐらいヤレや 防衛省が仕様だと回答している内容なのに、脆弱性を突くなとか意味不明だな >>40
そうだね。税金つかって家を建てたけど壁がないのに気付かなかったレベルだわ。 >>38
すまん、税金つかってポンコツシステム作った防衛省が泥棒だった。 一応通報は正しいのだが、対処しないケケ中案件では通報より先に報じても何も変わらん だから日本のITはダメなんです。
だから日本はいつまでたってもDXが実現しないんです。
バグとか脆弱性の問題じゃないんです。 外国にも同じように言うのか?
お前等が職務怠慢やから晒し者にされてるだけ 防衛省は見て見ぬふりしてたから内部リークされたんだろw
しかもちゃんと問い合わせしてから記事にしてるw >>1
脆弱性が存在したと認めるのか?
脆弱性が存在してるならシステムは即刻止めるべき
しかし防衛省は「改修は困難」と言ってシステムを止めなかった
これってマズいよねw >>49
欠陥の指摘はともかく、真似してみてとばかりに手口まで披露する必要は無かったんじゃないかね いやこれ脆弱性のレベルじゃないし
普通ならサイト停止して改修しなければならないズタボロサービス 脆弱以前のレベルだからな
システムとしての基本お約束ができてないんだもの 家にカギを掛け忘れたんじゃなくてドアも窓も付いてない状態。
脆弱性じゃなく、欠陥商品。 本件に関しては脆弱性ではなく
仕様じゃないかな(-_-;)
つまり、もとからオカシイ… >>52
名前も住所もパスワードも番号すらもでたらめでよくて重複予約までできるとか
手口説明する必要がないくらいガバガバだろうよ 「システムの脆弱性はオフレコです。いいですか、みなさん、いいですか、書いたらもうその社は終わりだから」 番号入力ミスでも他人の予約をキャンセルしてしまうのは
脆弱性ですらないだろ >>1
おいITmedia NEWSさんよ
まずあのシステムに脆弱性が存在したのか?
それとも単なるアホ仕様だったのか?
そこから防衛省に聞いて来いよ
そもそも防衛省の言ってることが意味不明で大前提の定義すら曖昧なんだよw 脆弱性を突くなんてレベルじゃねえだろこれ
どんだけ寝ぼけてんだクソバカ政府 >>15
会社に報告するのはいいんだろうけど世間一般に公開したら犯罪じゃなかったかな
BSカードのスクランブル解除の方法とか公開した人罰せられてなかった? >>61
ガバガバは確かだしそれは問題だろう
でもあえて手口まで載せて記事にする必要はないよね
さあみんなやってみようっていう扇動じゃないの? これは脆弱性ではなく仕様でしょ
こんなの開発者が気付かないはずがない
自治体に丸投げしていた事業を突然国が始めたから接種対象者のデータを国が持っていない
でも自治体のデータベースに接続するのもデータ貰ってくるのも面倒
なので、予約時点で予約者の確認をせず、接種会場で確認する仕様にした
って事でしょ
IT云々ってより、計画性の無さと危機感の無さが問題
菅内閣は仕事人内閣とか言ってたけど全く仕事ができない 悪意のあるユーザーも番号入力ミスするユーザーも居ない優しい世界仕様 今じゃなくていいから10億の見積の明細と仕様書とソースコード、作業報告書を開示しろよ? >>68
知らなきゃどこに問題があって改善したのち本当に改善されたかどうかわからんだろ
それを実際にやったことが悪いのであって問題点を記事にすることは何の問題もないわ
すぐ修正するかシステム止めるかするべき >>1
おいITmedia NEWSさんよ
あんたらもIT関連のメディアなんだろ?
だったらまず防衛省に取材して
あれは「脆弱性」だったのか単なる「アホ仕様」だったのかまず事実を確認して来いよ
メディアの仕事はそこからだろw 飲食店が要請に従いお店を閉めたり、お酒を提供せずに必死で耐えているのは、このコロナ禍を早く収束させたいから
コロナワクチンの接種を妨害する報道を行った朝日や毎日は、国家と国民に対する裏切りであり、反逆行為だ
政府に進言した上で報道を控えるのが正しい行為である
つまり、朝日と毎日は国家反逆 裏ワザ的な感じじゃなく あまりにもひどい記事にされるレベルのガバガバだったんだろ
なんの数字入れても何才でも全くエラーも出ないとか… 脆弱性とかいうレベルではないだろ
日本人こそ言うんだよ酷い有様を是正してほしくて 性善説を信じ
誰でも分け隔てなく自由に予約が出来るシステム
そこには、差別も格差もない
朝日と毎日は、日頃のスタンスなら絶賛すべきだろwww >>76
結局悪いことしてんじゃん
そして悪いことをした自覚もなく記事にしてる
普通に報せるだけにしとけば良かったのに
どうせ数ヶ月程度で終了するシステムだし IPAに知らせるのは妥当だしその通りだと思う、一部報道も社会的道義的な責任の罰を負っていいと思うし
それはそれとして、システムの納品の段階で検証しなかったのかよ糞が >>1
テメーがLHMeltをぶち殺したことは忘れてねーぞ >>82
お前の言い分は手口を詳細に載せたことが悪いってことだろ
俺は一言もマスコミが悪いことしてないとは言ってないわ
自分の発言を百回読み直してレスしろよ
マスコミがやったことで問題なのは実際に不正に予約してみたことであって
システムの問題を記事にしたことじゃねえよ >>55
> IPAがリリース前に検査しろよ
そうそう。別にIPAじゃなくても良いけど、
誰かが検査すべき。
今回の件は、検査らしい検査を、誰もしてない。
そこが問題なんだよ。
あまりに低レベルだ。皆が言うように「脆弱性以前」に、
設計段階で手抜きなの。定番ルーチンすら装備してないの。
ほとんど「馬鹿レベル」ですよ、馬鹿レベル.
全ての馬鹿を処罰すべきです。とくに竹中の会社ね。 これの本質はお問い合わせのウェブホームでしょう
でアクセスキーを設定したとさ
ハッキング?
冗談でしょう >>1
つーかナニイッテンダ?
これ明白な犯罪なんだが。 報道されなかったら
予約出来たと思ってるけど上書きされた人はどうしたら良いの >>88
接種券なしに予約したら捕まるんだし、この仕様のままでいいんじゃないか? もとは言えば国がワクチン接種を自治体に丸投げしたのがいかんのだよ
最初から責任もって国が主導すればこんな混乱は起きなかった 脆弱性であってもアホシステムであっても
穴は見つけたらまず開発者やIPA窓口に報告してということ >>87
だからマスゴミがやらかした自覚もなく手口を公開したら結局その記事はダメだろ IPAも問題視したか
さすがにあの報道はくその極みだと思ったわ ■ このスレッドは過去ログ倉庫に格納されています