【IPA】脆弱性を突く手口、「見つけたらまず開発者やIPA窓口に報告して」　コロナワクチンの架空予約巡り [少考さん★]

**少考さん ★** · 2021/05/18(火) 23:02:03.53

※ITmedia NEWS

脆弱性を突く手口、IPA「見つけたらまず開発者やIPA窓口に報告して」　コロナワクチンの架空予約巡り
https://www.itmedia.co.jp/news/articles/2105/18/news145.html

2021年05月18日 20時26分公開

https://image.itmedia.co.jp/news/articles/2105/18/l_th_ipazeijaku_01.jpg
IPAは脆弱性の存在をネットで公開しないよう求めている(出典:IPAの公式動画)

大規模会場を使った新型コロナワクチンの接種予約システムで架空の予約ができてしまう問題について、IPA(情報処理推進機構)は5月18日、取材に対し「脆弱性や手口を不特定多数に公開するのは望ましくない」とコメントした。脆弱性を発見した際は「まず開発者やIPAの窓口に報告してほしい」という。

【修正履歴:2021年5月18日午後9時25分 IPAがITmedia NEWSの取材に回答したものであるため、表現を一部変更しました】

脆弱性情報は、開発者が脆弱性を直すために必要な情報である一方で、攻撃に悪用される恐れがある情報でもある。このためIPAは「発見時は開発者に報告し、極秘事項にすること」とし、「報告せずに、脆弱性の存在をネット上にいきなり公開することは絶対に行ってはいけない」としている。また、攻撃者と疑われる可能性があることから「善意であっても必要以上に調査しないこと」ともしている。

IPAでは脆弱性を報告する専用窓口を設置し、情報提供を求めている。

(略）

関連リンク
IPAの通報窓口
https://www.ipa.go.jp/security/vuln/report/index.html

IPAの脆弱性発見時の行動に関する解説動画
https://www.youtube.com/watch?v=ZQnR3jJIHeI

(略)

※省略していますので全文はソース元を参照して下さい。

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:02:47.87

重複だろ。いくつ立てるんだよ。

**ニューノーマルの名無しさん**(悠久の苑) · 2021/05/18(火) 23:03:43.59

あれ脆弱性とか言って良いレベルなの？
最初からノーガードやんww

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:04:11.88

安全なwebサイトの作り方すら読んでないみたいですよ自民の人達は
なんとか言ってやってipaさん

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:04:16.49

デバッグすろｂｋ

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:04:19.91

脆弱性というか丸ごし

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:04:37.22

メディア論の教授がシステムの専門家？

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:04:45.47

テロの具体的な方法を国内外に広く周知しました☆

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:05:13.89

三回間違えたら同一環境変数ロックとか
やってみたら以外に効くでー

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:05:25.63

>>3
脆弱性とかそーゆー次元のシロモノではないなｗ

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:05:34.22

おれ情報処理安全確保支援士もどきだけど、
悪いことするなよ

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:05:35.35

脆弱性という詭弁

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:05:51.32

最初から知ってたって開き直ってるから通報しても隠蔽してただろうがよ

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:06:18.28

イソピルプルアルコール

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:06:40.96

appleとかバグを見つけたら1億円とか報奨金出してるわけだが、IPAバカなの？

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:07:01.99

五輪開催阻止からの解散選挙政権奪還！！

これが狙いだからそんな事するわけない。どんどん妨害して一向に進まなくさせるのが狙いだから

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:07:06.63

>>8
テロリスト朝日新聞出版ハシゲ社長辞任と
毎日変態ちんこしゃぶり新聞はテロリストだから
正常な行為だぞ

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:07:28.37

>>15
なにってんお？

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:07:34.98

>>1
【修正履歴：2021年5月18日午後11時5分　記事初出時、架空予約できることのみが「脆弱性」としていましたが、同手法がセキュリティ上の欠陥を突いているかは議論の余地があります。本件に関しては「SQLインジェクション」などの攻撃が可能という情報もあることから、タイトルと本文の表現を修正しました。】

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:07:36.09

竹中平蔵のミスを国民に押し付けるのか

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:07:49.35

はあ？
防衛省は仕様だと言っている訳だが？

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:07:57.00

すげぇな

中抜きの尻拭いは利用者にさせるとか

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:08:19.60

ぱよぱよち～んの元ネタの人ってセキュリティ関係だよね

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:08:21.82

中国とかISISに
いきなり攻めないでねﾊｧﾄ
って言えよｗ

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:08:38.03

でも指摘したら仕様ですって解答したんでしょ？

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:08:45.03

ノーガード戦法

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:08:53.00

>>11
登録してないってことか？
登録すると金を払って得られるのが重い責任と義務だけでうまみがまるでないという

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:09:39.52

そんなことしたら余計な業務増えて生産性悪くなることが理解できないようだ

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:09:46.97

国民βテスター

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:09:58.26

もう脆弱性とかそういうレベルの話じゃねーだろ

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:10:01.09

俺の家は鍵かけてないけど泥棒に入らないで家主か警察に連絡しろって？

そもそも日本語でそんなことを書かれてもｗｗ

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:10:11.19

おつむが脆弱

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:10:13.01

>>1
善意を期待するとか脆弱性とかごまかしてるけど、
これは手抜き工事だろ

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:10:41.79

>>25
国がノーガード戦法取るとはねえ

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:10:43.29

世界に向かってIT後進国宣言しちゃったも同然。恥知らずのIPAは解散しろ。国賊。

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:10:55.60

紙でよかったんや

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:11:07.24

報告したところで黙殺されそうな気もするんだがなー

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:12:04.54

>>31
それはつまり朝日毎日は泥棒ってことだね

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:12:16.52

I 意味ない
P ぱーの
A 集まり

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:12:22.62

>>31
そもそもドアがなくて開けっ放しなレベルだろ。でもそれをいうとしょっ引かれるという（笑）

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:12:34.32

まぴょーん

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:12:36.42

こんなん脆弱性でもなんでもないわ
ちゃんとテストぐらいヤレや

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:13:15.71

防衛省が仕様だと回答している内容なのに、脆弱性を突くなとか意味不明だな

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:13:34.36

>>40
そうだね。税金つかって家を建てたけど壁がないのに気付かなかったレベルだわ。

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:14:02.34

>>38
すまん、税金つかってポンコツシステム作った防衛省が泥棒だった。

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:14:31.97

一応通報は正しいのだが、対処しないケケ中案件では通報より先に報じても何も変わらん

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:15:02.58

だから日本のITはダメなんです。
だから日本はいつまでたってもDXが実現しないんです。

バグとか脆弱性の問題じゃないんです。

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:15:06.97

外国にも同じように言うのか？
お前等が職務怠慢やから晒し者にされてるだけ

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:15:15.57

防衛省は見て見ぬふりしてたから内部リークされたんだろw
しかもちゃんと問い合わせしてから記事にしてるw

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:15:32.66

イソプロピルアルコール関係あるのか

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:16:48.38

>>1
脆弱性が存在したと認めるのか？
脆弱性が存在してるならシステムは即刻止めるべき

しかし防衛省は「改修は困難」と言ってシステムを止めなかった
これってマズいよねｗ

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:17:09.20

>>49
欠陥の指摘はともかく、真似してみてとばかりに手口まで披露する必要は無かったんじゃないかね

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:17:26.09

いやこれ脆弱性のレベルじゃないし
普通ならサイト停止して改修しなければならないズタボロサービス

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:17:35.33

脆弱以前のレベルだからな
システムとしての基本お約束ができてないんだもの

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:17:40.65

IPAがリリース前に検査しろよ

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:17:57.41

家にカギを掛け忘れたんじゃなくてドアも窓も付いてない状態。
脆弱性じゃなく、欠陥商品。

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:18:34.48

本件に関しては脆弱性ではなく
仕様じゃないかな(-_-;)

つまり、もとからオカシイ…

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:19:16.27

>>40
私有地に入ったらアウトやで。

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:20:01.52

曰く欠陥ではなく、これが『仕様』らしいぞ

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:20:13.16

裸で歩って「見ーたーなー」

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:20:14.68

>>52
名前も住所もパスワードも番号すらもでたらめでよくて重複予約までできるとか
手口説明する必要がないくらいガバガバだろうよ

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:20:20.28

「システムの脆弱性はオフレコです。いいですか、みなさん、いいですか、書いたらもうその社は終わりだから」

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:20:48.91

番号入力ミスでも他人の予約をキャンセルしてしまうのは
脆弱性ですらないだろ

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:20:56.16

>>1
おいITmedia NEWSさんよ
まずあのシステムに脆弱性が存在したのか？
それとも単なるアホ仕様だったのか？

そこから防衛省に聞いて来いよ
そもそも防衛省の言ってることが意味不明で大前提の定義すら曖昧なんだよｗ

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:22:33.04

隠ぺい指示

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:22:33.10

脆弱性を突くなんてレベルじゃねえだろこれ
どんだけ寝ぼけてんだクソバカ政府

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:22:40.38

>>15
会社に報告するのはいいんだろうけど世間一般に公開したら犯罪じゃなかったかな
BSカードのスクランブル解除の方法とか公開した人罰せられてなかった？

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:22:48.47

>>61
ガバガバは確かだしそれは問題だろう
でもあえて手口まで載せて記事にする必要はないよね
さあみんなやってみようっていう扇動じゃないの？

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:23:13.59

これは脆弱性ではなく仕様でしょ
こんなの開発者が気付かないはずがない
自治体に丸投げしていた事業を突然国が始めたから接種対象者のデータを国が持っていない
でも自治体のデータベースに接続するのもデータ貰ってくるのも面倒
なので、予約時点で予約者の確認をせず、接種会場で確認する仕様にした
って事でしょ
IT云々ってより、計画性の無さと危機感の無さが問題
菅内閣は仕事人内閣とか言ってたけど全く仕事ができない

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:23:18.15

>>66
炎上系YouTuberの戯れ言ですか？

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:24:14.62

>>3
同意する。

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:24:38.86

悪意のあるユーザーも番号入力ミスするユーザーも居ない優しい世界仕様

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:24:42.39

そもそもハッキングなのかという疑問

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:25:00.07

MMOかよ

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:26:23.84

今じゃなくていいから10億の見積の明細と仕様書とソースコード、作業報告書を開示しろよ？

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:26:27.03

>>68
知らなきゃどこに問題があって改善したのち本当に改善されたかどうかわからんだろ
それを実際にやったことが悪いのであって問題点を記事にすることは何の問題もないわ
すぐ修正するかシステム止めるかするべき

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:27:03.75

>>1
おいITmedia NEWSさんよ
あんたらもIT関連のメディアなんだろ？

だったらまず防衛省に取材して
あれは「脆弱性」だったのか単なる「アホ仕様」だったのかまず事実を確認して来いよ
メディアの仕事はそこからだろｗ

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:27:32.36

飲食店が要請に従いお店を閉めたり、お酒を提供せずに必死で耐えているのは、このコロナ禍を早く収束させたいから

コロナワクチンの接種を妨害する報道を行った朝日や毎日は、国家と国民に対する裏切りであり、反逆行為だ

政府に進言した上で報道を控えるのが正しい行為である

つまり、朝日と毎日は国家反逆

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:28:14.13

裏ワザ的な感じじゃなく　あまりにもひどい記事にされるレベルのガバガバだったんだろ
なんの数字入れても何才でも全くエラーも出ないとか…

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:29:34.76

脆弱性とかいうレベルではないだろ
日本人こそ言うんだよ酷い有様を是正してほしくて

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:29:55.12

性善説を信じ
誰でも分け隔てなく自由に予約が出来るシステム

そこには、差別も格差もない

朝日と毎日は、日頃のスタンスなら絶賛すべきだろwww

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:31:02.47

>>76
結局悪いことしてんじゃん
そして悪いことをした自覚もなく記事にしてる
普通に報せるだけにしとけば良かったのに
どうせ数ヶ月程度で終了するシステムだし

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:31:11.88

>>33
だよな

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:31:18.18

>>67
それは不正競争防止法

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:31:52.30

IPAに知らせるのは妥当だしその通りだと思う、一部報道も社会的道義的な責任の罰を負っていいと思うし

それはそれとして、システムの納品の段階で検証しなかったのかよ糞が

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:31:56.00

>>1
テメーがLHMeltをぶち殺したことは忘れてねーぞ

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:32:50.84

>>82
お前の言い分は手口を詳細に載せたことが悪いってことだろ
俺は一言もマスコミが悪いことしてないとは言ってないわ
自分の発言を百回読み直してレスしろよ
マスコミがやったことで問題なのは実際に不正に予約してみたことであって
システムの問題を記事にしたことじゃねえよ

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:33:40.11

誰でも身分証明無しに予約できます

あのさぁ

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:34:06.05

>>55
> IPAがリリース前に検査しろよ

そうそう。別にIPAじゃなくても良いけど、
誰かが検査すべき。

今回の件は、検査らしい検査を、誰もしてない。
そこが問題なんだよ。

あまりに低レベルだ。皆が言うように「脆弱性以前」に、
設計段階で手抜きなの。定番ルーチンすら装備してないの。

ほとんど「馬鹿レベル」ですよ、馬鹿レベル.

全ての馬鹿を処罰すべきです。とくに竹中の会社ね。

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:34:09.27

連絡先が分からないんだから連絡しようがないだろ

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:34:17.12

これの本質はお問い合わせのウェブホームでしょう
でアクセスキーを設定したとさ

ハッキング？
冗談でしょう

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:35:21.05

〇仕様
×脆弱性

理系なら正しく使い分けなさい

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:35:22.21

>>1
つーかﾅﾆｲｯﾃﾝﾀﾞ？
これ明白な犯罪なんだが。

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:35:28.30

報道されなかったら
予約出来たと思ってるけど上書きされた人はどうしたら良いの

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:35:28.55

>>88
接種券なしに予約したら捕まるんだし、この仕様のままでいいんじゃないか？

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:35:52.73

もとは言えば国がワクチン接種を自治体に丸投げしたのがいかんのだよ
最初から責任もって国が主導すればこんな混乱は起きなかった

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:36:10.47

そんな優しいハッカー居るのか

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:36:38.69

脆弱性であってもアホシステムであっても
穴は見つけたらまず開発者やIPA窓口に報告してということ

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:36:57.03

>>87
だからマスゴミがやらかした自覚もなく手口を公開したら結局その記事はダメだろ

**ニューノーマルの名無しさん** · 2021/05/18(火) 23:36:59.95

ＩＰＡも問題視したか

さすがにあの報道はくその極みだと思ったわ