【ワクチン架空予約】情報処理推進機構 ｢報告せずに、脆弱性の存在をネット上にいきなり公開することは絶対に行ってはいけない｣★3 [2021-★]

[0001 2021- ★ 2021/05/19(水) 00:44:11.62 ID:4jSv1oOh9]

大規模会場を使った新型コロナワクチンの接種予約システムで架空の予約ができてしまう問題について、

IPA（情報処理推進機構）は5月18日、取材に対し
「脆弱性や手口を不特定多数に公開するのは望ましくない」とコメントした。

脆弱性を発見した際は「まず開発者やIPAの窓口に報告してほしい」という。

脆弱性情報は、開発者が脆弱性を直すために必要な情報である一方で、攻撃に悪用される恐れがある情報でもある。

このためIPAは「発見時は開発者に報告し、極秘事項にすること」とし、

「報告せずに、脆弱性の存在をネット上にいきなり公開することは絶対に行ってはいけない」としている。

また、攻撃者と疑われる可能性があることから「善意であっても必要以上に調査しないこと」ともしている。

架空予約の問題を巡ってはAERA dot.の記者が17日に公開した記事の中で、でたらめな番号を予約システムのフォームに入力しても
予約が取れてしまうことを、実際のシステムで確かめたと記載。

予約後には「予約をキャンセルした」としているものの、
具体的な手口を明らかにした報道手法に対し、Twitterでは「模倣犯による犯行を誘導している」などの指摘が出ていた。

https://www.itmedia....AF%E3%83%81%E3%83%