【ワクチン架空予約】情報処理推進機構 「報告せずに、脆弱性の存在をネット上にいきなり公開することは絶対に行ってはいけない」★3 [2021-★]
■ このスレッドは過去ログ倉庫に格納されています
大規模会場を使った新型コロナワクチンの接種予約システムで架空の予約ができてしまう問題について、
IPA(情報処理推進機構)は5月18日、取材に対し
「脆弱性や手口を不特定多数に公開するのは望ましくない」とコメントした。
脆弱性を発見した際は「まず開発者やIPAの窓口に報告してほしい」という。
脆弱性情報は、開発者が脆弱性を直すために必要な情報である一方で、攻撃に悪用される恐れがある情報でもある。
このためIPAは「発見時は開発者に報告し、極秘事項にすること」とし、
「報告せずに、脆弱性の存在をネット上にいきなり公開することは絶対に行ってはいけない」としている。
また、攻撃者と疑われる可能性があることから「善意であっても必要以上に調査しないこと」ともしている。
架空予約の問題を巡ってはAERA dot.の記者が17日に公開した記事の中で、でたらめな番号を予約システムのフォームに入力しても
予約が取れてしまうことを、実際のシステムで確かめたと記載。
予約後には「予約をキャンセルした」としているものの、
具体的な手口を明らかにした報道手法に対し、Twitterでは「模倣犯による犯行を誘導している」などの指摘が出ていた。
https://www.itmedia....AF%E3%83%81%E3%83% 政府は黙っていたけど接種券を持ってくれば予約があるかないかなんて関係なく初めからワクチンを打つつもりなんだよ
年寄りに大手町までわざわざ来させて受付けで予約がないからといって締め出すわけない システム自体には問題ない
東京都の各区市町村のワクチン予約にも個別で同じシステムが使われているし
接種者のデータベース機能も各区市町村で個別に機能していて
架空の予約は出来ない
今回問題になったのは
防衛省のワクチン予約システムは
区市町村のワクチン予約システムとは
完全に独立していて、
また接種者を識別するデータベース機能は
個人情報の扱いからデータベース機能があえて無効にされていただけ
これは迅速に防衛省が接種するために
東京都の65歳以上400万人のデータベースを
一から構築してたら間に合わないから
善意の予約システムとして稼働させた マスコミもタイミング見て処理機関に通報するとともに記事配信にすると良かったけどな。
しかしマスコミだからスクープはいるし、事実書いてるからな 逆ギレとかおかしいわ >>6
うん、だからこれが仕様です。で終わる話じゃん
なんでハッキングだとか脆弱性だとか事が大袈裟になっているのか?? システムとしては、接種券番号にチェックデジットがあるのかないのかが問題
チェックデジットが有れば不正な番号は弾ける
運用上は、接種券と本人確認書類が有れば良いだけ
簡素なシステムでもやれる
このシステムに払った金と開発した会社は糞だと思うけど
飲食店が要請に従いお店を閉めたり、お酒を提供せずに必死で耐えているのは、このコロナ禍を早く収束させたいから
コロナワクチンの接種を妨害する報道を行った朝日や毎日は、国家と国民に対する裏切りであり、反逆行為だ
政府に進言した上で報道を控えるのが正しい行為である ■お知らせ■
こちらはスレが重複したので下記スレに移動をお願いします。
下記スレが終わったら、このスレを継続スレとしてお使いください。
https://asahi.5ch.net/test/read.cgi/newsplus/1621352664/ このシステムだと用意されたワクチンが無駄になるわな
欠陥だろ 適当に番号打ち込んで予約取れるとかもはやバグだろ・・・
裁判しても瑕疵相当のバグと判断されてシステム作った会社が負けるだろ
本来備えておかなければならない機能が欠けているんだから瑕疵欠陥
記者の行為もハッキングのレベルではない
ゲーム関係の訴訟でもアホみたいなバグは瑕疵扱いされる まずはβ版公開してより多くの脆弱性指摘してもらうにはこれが一番手っ取り早い >>8
架空予約するからだよ
その手口もマスメディア使って
広めるからだよ 早めに表に出て良かったのでは?
今ならまだ対策取れるでしょ?
悪い人に次々に予約荒らされて、当日にワクチン大量廃棄なんて事になっていたら目も当てられない この問題はシステムのバグとかどうとかの問題じゃなくて
防衛省にワクチンを接種させようとした制度設計の問題なんだよ
防衛省主体で接種させるとどうやっても破綻したシステムしか作れない IPAもさあ、こんな糞システム公開する前に気づけよって説教しろや、なあ システムがクソなのは擁護の余地もないが、その悪用方法を記事にして閲覧数欲しさにネットに公開するようなやつも模倣犯誘発させたいのかって意味でまずいことしてるのは間違いない 接種券番号は各自治体で管理しているから
防衛省は接種券番号が正しいかどうかをチェックする手立てがない
そもそも防衛省に接種させようとしたこと自体が大問題
防衛省に接種させようと指示した管に責任があるし
それではうまくいかないと指摘して止めさせなかった官僚にも責任がある いや、脆弱性も何も、防衛省は「仕様です」と言ってるんだけど? >>311
そもそも防衛省にワクチンを接種させるという制度設計自体に欠陥があったってこと 入力苦手な人が打ち込んで接種会場で摂取拒否するされるだろうな。
政府も逆ギレとかではなくてすぐ対応してると言えばいいものを。
朝日が毎日とか言う奴は国の為にならんぞ
アルバイトしてるとしか思えんわ >>24
朝日などが報道する前からみんな知ってたらしいぞ >>25
官僚も大臣も、菅に何か言うとドヤされるらしいから、無理だろう
安部はニヤニヤ笑ってみているだけだし このIPAがあっての日本のIT能力の低さだからな。奴らの作る問題みてもIPAのレベルがどんだけ低いかがわかるよ。こいつらには日本のITレベルを向上させる気はない。 インテルやAMDチップの脆弱性ツツいて公表してる奴らはいいの? 報道しなきゃ絶対に直さないどころか不具合を認めもしないだろ
つうか報道しても認めてないよね? >>33
指示した政治家は馬鹿で
頭の良い官僚がそれを止めないのが悪い 拾い物だけど
浮気がばれて携帯覗いた人にキレる人ってのは悪くない例えだわ どこかの新聞社が報道に至った経緯を記事にしてたけど、報道しなけりゃ、そのまま隠そうとしてたみたいだよ windowsのセキュリティーホールの話と同じやろ
見つけたまではええけど
まず報告して穴塞いでからネタにするべき
やっぱ何か頭のネジ1つ可笑しいいうか、勘違いしてんだよな なんていうか、日本政府って性根が腐ってるよね。
失敗しても悪いことしても、ばれなきゃオッケ。
おい、お前、ちくんなよってことだよね。
人間のクズ >>6
防衛省に接種させようとするとこういうシステムしか作りようがない
防衛省に接種させようとした制度設計自体がそもそもの誤り >>35
その政治家は、「ブレーキを踏め」って言われているのにアクセル踏んでる
本人はブレーキのつもりでいるみたいだが 「報告せずいきなり公開」もなにも
すでに管理者の防衛省が知ってたことですがw
https://www.jiji.com/sp/article?k=2021051801022&g=soc
しかも、こんな重大な危険性わかっていながら、
自民党のせいで修繕も見送って稼働させてたw
こりゃ報道必要だわw
w セキュリティの不備をついたというほど大層ではないけど
だからといって手口は公開しなくてもええとは思う
まぁこんな中抜きしてこんな糞システムつくっちゃうのが一番良くないんだが 防衛省は接種券のデータベース知らないので誰が本当で誰がイタズラか判断できない >>1
脆弱性っていうかただの欠陥であり行政の過失怠慢じゃん
それを暴くのは報道機関の仕事なんだから仕方ないよ >>49
防衛省にシステムやらせちゃダメなのに
そういう仕組にしてしまった政府の責任 番号のチェックすらしないのは仕様であって、脆弱性ではないようです!
防衛省はこうした不備を事前に知っていたが、「7月末までの高齢者接種完了」が至上命令となる中、動作チェックなどに時間をかけられないことから改修を見送ったという。同省幹部は「限られた時間の中での最適解だった」と説明した。 >>46
手口の問題じゃない
そもそも照会という動作が無いんだから
こんなもん外に公開しちゃだめだよ ノーチェック、ノーガードのシステムを脆弱性とか言っちゃうの恥ずかしすぎる >>1
そもそも性善説に基づいた仕様でシステムを構築する国に緊急を要する国防は難しい… orz >>1
普通に不正アクセス禁止法違反だから
普通はやらんのだがな >>55
自衛隊は自治体の下で自治体の支援だけやってればこんなことには
ならなかった
どこかで自衛隊の手柄にさせようという力が働いておかしな制度になってしまった 中国軍が攻めてきても脆弱な部分をつくのは人道に悖るというつもりか?
国防を担ってるんだろう? 防衛省の人員動員するにしても
それは医者とかナース相当とかの話ではないのか
なんで予約システムまでやらせるんだ 「急いで作ったので番号のチェックはしていません。適切に使ってください、お願いします」って平身低頭お願いするべき話なんだよな。
IPAも脆弱性とかアホ >>46
赤の他人の予約を、
「いけね間違えた」で削除できるのに
手口も手順もなにもない >>46
セキュリティ関連の前提として、
公開されてるサイトの脆弱性(俺は仕様だと思うが)が、結局はバレて広がるよ
時間の問題でしかない
で、防衛相は脆弱性の存在を知ってて、それを直さずにサイトを公開しちゃうくらい意識が低いんだから、
どちらにせよ結果は同じ 恥かかされたことに怒るのは勝手だが、一般論を持ち出して取り繕おうとするのは余計みっともないんだけど >>50
システムに欠陥あるのは問題だけど、それをわざわざ全国にやり方まで教えて報道するのはどうなの?
皆さん試してくださいって言っているようなもんだよね? >>1
隣家の鍵がかかってなくても、仮にドアが開け放してあっても勝手に入りませんよね?
朝日毎日を支持する連中や立憲民主党の皆様は違うみたいだけど
朝鮮人や中国人の感覚は理解に苦しみますね >>68
そもそも仕様上こんなもん公開しちゃいけないんだから叩かれて当たり前 朝日新聞/毎日新聞「こんなイタズラできちゃうけど良い子は絶対にマネしないでね」 発注した人と設計した人は力量不足
流布したマスコミは悪質だし
便乗してイタズラしたやつは犯罪者
それだけ システム要件
・予約できる
・異常入力をきっかけとするシステムダウンが起きない >>68
オレオレ詐偽の手口を全国に教える警察
w 新聞記者が、無知過ぎる。
そもそも欠陥のないシステムなんざ存在しない。
欠陥はつきもの。
今回、その記者さんたちは、
その欠陥を世に知らしめることの価値と、世に知らせないことの価値の秤が狂ったんだよ。
そのシステムが最大限の力を発揮しなければいけないタイミングで、その不具合を世に報せることと、しばらく待ってそのシステムが役目を終えてから不具合を報せることを天秤にかけて、熟慮すべきだろ。
自分が世の中に報せることが、本当に世の役に立つのか?、その報せは本当に今じゃなければいけないのか?
私には、その記者さんたちが、5分間脳内シュミレーションすれば、こんな選択することはなかったと思う。
もし、自分達の判断が正当であり、非の打ちどころもないと主張するのであれば、自分の言葉でそれを新聞の一面に堂々と書けばいい。 電話とFAXとエクセルのほうが早くて正確
システムなんかやめろ >>50
一刻も早くこの欠陥システムを停止させることが国民の利益になる >>69
これ単なる隣の家じゃないんだわ
例えとして不適切 >>59
いや、不正アクセスを防止する機能自体が付いてないから防止法違反にならない訳で…せいぜい業務妨害が関の山です… orz これって俺のばあちゃんが誤入力したら虚偽予約って事で法的措置されるの?
そんなもん危なくて使わせられないよ いつもは事実を報道しろとか報道しない自由とか言ってマスコミを揶揄してるのにな >>61
当初は、自治体の主幹として責任も丸投げにする予定だったんだろう >>62
防衛省 「中国人はマナーを守ります!不正行為はしません!」 てかSQLインジェクションで
個人情報リストで盗んだやつおるんやろ?
がちの犯罪で笑う >>73
そもそも照会しないなんてシステムを作ることがあり得ない
何を目的にしてんだよこれ
>>77
これは欠陥ではなく仕様通り
手抜きのゴミ >>68
だってそれが報道機関の役割だもん。
国民が政府の能力を審判し、正しい選挙をするためには真実が欠かせない。 セキュリティは関係ない
これは番号を入力するシステム
接種券の情報がないんだから確認できません
接種当日チケットを旅行会社の社員が確認するんだから何の問題もない
旅行会社の社員は大変だろうね、膨大なデタラメだらけの予約表から接種番号を探すんだから
成功は受付窓口の個人能力にかかっている これが脆弱性かどうかは置いといて、
いきなりexploitコードが出回ることもそこそこあるけどな >>2
回数管理しなきゃならないのに何訳のわからねえアクロバティック擁護しとんじゃカルト工作員 >>68
今のネット世界では、新聞が公開しなくても、どちらにせよ周知されるよ
むしろ、そういう危険性の存在を周知させるのは適切と言っても良いくらい >>81
なら運営者かIPAにでも報告すれば良いだけ
報道機関は公益性やら知る権利やらを楯に何をしても良いと思い上がるな >>70
叩かれる叩かれないの問題じゃなくて、なんでわざわざやり方まで丁寧に説明してるんだって話なんだよね
お話にならないよね >>68
これでいいと公開したんだから、これは欠陥があるけど仕様と考えてるの。
「チェックもしてないクソシステムなので、国民のみなさんには適切に使って頂けるようお願いします」って言えばいいだけなんだけどな。 ■ このスレッドは過去ログ倉庫に格納されています