大規模会場を使った新型コロナワクチンの接種予約システムで架空の予約ができてしまう問題について、IPA(情報処理推進機構)は5月18日、取材に対し「脆弱性や手口を不特定多数に公開するのは望ましくない」とコメントした。脆弱性を発見した際は「まず開発者やIPAの窓口に報告してほしい」という。
脆弱性情報は、開発者が脆弱性を直すために必要な情報である一方で、攻撃に悪用される恐れがある情報でもある。このためIPAは「発見時は開発者に報告し、極秘事項にすること」とし、「報告せずに、脆弱性の存在をネット上にいきなり公開することは絶対に行ってはいけない」としている。また、攻撃者と疑われる可能性があることから「善意であっても必要以上に調査しないこと」ともしている。
架空予約の問題を巡ってはAERA dot.の記者が17日に公開した記事の中で、でたらめな番号を予約システムのフォームに入力しても予約が取れてしまうことを、実際のシステムで確かめたと記載。予約後には「予約をキャンセルした」としているものの、具体的な手口を明らかにした報道手法に対し、Twitterでは「模倣犯による犯行を誘導している」などの指摘が出ていた。
でも防衛省的には脆弱性じゃないんでしょ?
仕様通りなんだから
善意に頼った"システム"だからな
脆弱性じゃない
|
報告した上で改善されなかったら公開していいルールだしな
たんに公開するのは流石によくないわ
>>25
ちゃんと防衛省に取材した上で記事にしてるぞ
そもそも内部告発だから政府は知った上で隠蔽して運用開始してる
>>33
内部告発かよw
これって気づかない方がやばい不具合だろ
IPAさんもこんなくだらないことで脆弱性だのコメントさせられるとは思いもしなかったやろな
脆弱性でもセキュリティホールでもなく
仕様がうんこなだけ定期
でも実際そのせいで対策打つ前にいたずら半分で偽の予約しまくる奴出とるんやから正論やない?
防衛大臣が自分で言ってるけどシステムが脆弱なんじゃなくてそういうシステムの仕様だからそれがおかしいって言ってるだけだぞ
システムの作りが酷いのとサイバー攻撃を幇助するのは別や
システム屋なら常識レベルの話や
>>106
これやな
システムのガバガバさとは切り離して考えなあかん
脆弱性以下のシステム作る国も
ほんまか試してみたやりまくって
それはアカンっていわれてきれる国民も
IT後進すぎるわ
日本じゃホワイトハッカーも犯罪者やからな
そもそも予約“システム”ですらなくてただ10桁の数字と生年月日等を入力する事ができるサイトや
>>247
それで充分なシステムなんだけどな。
無駄に予約番号紐付けなきゃならんと思ってる奴多いが
200億円で作られたシステムが仕様どおり動作することを確認しただけやん
何が問題なんだ?
仕様なら脆弱性が存在しないと思ってる奴は何なんだ
【修正履歴:2021年5月18日午後11時5分 記事初出時、架空予約できることのみが「脆弱性」としていましたが、同手法がセキュリティ上の欠陥を突いているかは議論の余地があります。本件に関しては「SQLインジェクション」などの攻撃が可能という情報もあることから、タイトルと本文の表現を修正しました。】
架空予約は脆弱性ではないらしい
SQLインジェクションって1年目のエンジニアでも対策教わるレベルやろ
防衛省内部からこの情報漏れてるんやけど政府の人間は必死に犯人探しするんやろか
>>253
民間企業には内部告発で不正な処分を下してはならない言うてんのに自分らはやるのはいかんでしょ
ソフト屋以外はそんな程度の認識なんやろな
ゼロディアタック怖いからMicrosoftとかもヤバいの見つけても即時は公表せんやん
だいたいなんで防衛省はこれが仕様だ!時間なかったから仕方ないだろ!って逆ギレしてんだよ
ふざけたもん納品してんじゃねえと受託業者詰めるとこやろ
>>279
要件定義してるのは防衛省でベンダーはそれに沿って実装してるだけやろ
こんなガバガバなシステムならうちにやらせろよと思ってる中小SIer
1万社くらいありそう
ACCS不正アクセス事件
https://scan.netsecurity.ne.jp/article/2004/05/19/12726.html
2003年11月、セキュリティ研究者が集まるイベントにて
社団法人コンピュータソフトウエア著作権協会(ACCS)の公式サイトに
脆弱性が存在することを「実演」して示した研究者が逮捕された事件
>>308
これは実際情報抜いてるから有罪でもしゃーない
仕様にこの入力は弾くって書かれてなかったからその通り設計しただけだぞ
もらえる金も変わらないし
IPAがこれを脆弱性なんて言わないやろ
質問の仕方がおかしいとちゃう?これ
>>339
それワイも凄く迷ったけど、データの完全性に影響(予約データの削除)出来るからセキュリティ上の問題として脆弱性として言えなくも無いと思う
>>409
報道は「存在しない番号で予約可能」ってだけで
正規の番号の予約をオーバーライドできることは言ってないやろ
そもそもフィルターかけないならなんで予約券番号なんて入力させてんの?
年齢入れさせるだけでいいじゃん
これは正論だけど、出版社のインセンティブを考えると無理な話やわ。
修正後にボロカスに叩く記事を書かせてもらえるとかならまだしも。
>>515
こんなネタ報道したくなるのは当然やけど
とはいえ高齢者の接種率向上の目的に逆行する可能性を生む報道はすべきではなかった
総理大臣叩いて辞めさしたら済む問題ではない
防衛省に取材申し込んだ!
「担当部署に確認する」と返事が来た!
これで終わってるからなんとも言えんわ
返事は待たなかったんか?
もう国はネットとか諦めろ、全部FAXとハガキで対応しろ
>>635
実際そうしてる自治体は上手く回ってるしな
納期見て無理と判断したらそちらにすべき
今は有事やアナログでも構わん
|
コメント一覧 (84)
-
- 2021/05/19 01:33
-
脆弱性とか言うのも烏滸がましい欠陥放置して逆ギレしてるようにしか見えないのがね…
省庁や大手町企業のIT関連の問題大杉
これでIT化とかゴリ押し続けるの危険だろ -
bipblog
がしました
-
- 2021/05/19 01:35
- 200億の1%でいいから使ってITに本当に強い人連れてこい
-
bipblog
がしました
-
- 2021/05/19 01:35
- これを肯定してるバカって警察署の警備ガバガバでこうやったら不法侵入できますよって記事書いても問題ないって考えなんやろな。それをする実利がないのに無用に事を荒立てて妨害してるんだから咎められて当然
-
bipblog
がしました
-
- 2021/05/19 01:39
-
9条はあるけど国を守れるかって問いには否ってことになっちゃうのと同じ
善意に頼るとこうなるわけよ -
bipblog
がしました
-
- 2021/05/19 01:44
-
日本が後手後手のIT後進国なのは事実だけども
コロナに関してはバンバン打つ時間優先なんだからしゃーないやろ
それを無駄に枠押さえてワクチンすら無駄にしてるんだから
普通に考えて嫌がらせ以外の何者でもないわ検証するにしても
ガチで予約完了する意味ねーもの手前で分かる -
bipblog
がしました
-
- 2021/05/19 01:45
-
日本の防衛システムに欠陥がありまっせって教えてくれてるようなもんや
ありがたいと思いなさい
日本は欠陥を放置するつもりらしいけどな -
bipblog
がしました
-
- 2021/05/19 01:46
-
みんな、この程度のデーター入力のチェック入れるの、どのくらいしんどいと思ってるんや
めっちゃ楽やぞ
200億?は?2000万でも作れるわ -
bipblog
がしました
-
- 2021/05/19 01:50
-
時間のない中で開発してるんだろうけど
結構な税金かけてるならちゃんとしたシステムを設計してほしい
-
bipblog
がしました
-
- 2021/05/19 01:56
-
いくら時間が無いと言っても初歩的なバリデーションチェックすら無いのは擁護できんわ…
報道で具体的な手口まで色々明かしたのはやりすぎだと思うけど -
bipblog
がしました
-
- 2021/05/19 02:08
-
実際こういうのは郵送のほうが手っ取り早いわ
これはひどすぎるけど、まともな仕様決めて発注して納品してもらうって結構時間かかるぞ
-
bipblog
がしました
-
- 2021/05/19 02:10
-
公共の場所の立入禁止のドアが鍵が開いていたので入って中見てみました
でも何も取らなかったし他の人が来る前に出ておいたので問題ありません
問題あるわ入るなよバカ -
bipblog
がしました
-
- 2021/05/19 02:11
- 職員がつこうたしてた時期が懐かしいですねぇ
-
bipblog
がしました
-
- 2021/05/19 02:38
-
つか、予約サイトで遊んだヤツで見せしめに逮捕されるヤツ出るやろ。
脆弱性があることと、それを悪用して混乱をもたらすことは別問題やからな。 -
bipblog
がしました
-
- 2021/05/19 02:45
- 現状マイナンバーを導入したら、悲惨な状況に陥るのが分かってしまう。
-
bipblog
がしました
-
- 2021/05/19 02:56
-
そもそも、優先されるべき高齢者が出来るようにしなければならないし、スピードと拡張性を考えるとこうなりそう。
というか、値段は拡張までやろ。
システムの問題と報道の公益性と虚偽予約での損害は、別で考えないといかん。
-
bipblog
がしました
-
- 2021/05/19 03:00
-
脆弱性を報告して対策期間をある程度設けて待つ
期間中一切対応しねえクソ企業なら脆弱性全世界に大公開ではよやれやってのが一応のお作法
-
bipblog
がしました
-
- 2021/05/19 03:06
- まぁ大したことない病気だからこそ今のうちに失敗しとけはあるかもしらんね
-
bipblog
がしました
-
- 2021/05/19 03:08
- 脆弱性じゃなくて、ただの手抜き設計なんだよなぁ・・・
-
bipblog
がしました
-
- 2021/05/19 03:15
- イソプロピルアルコールのことかと思った
-
bipblog
がしました
-
- 2021/05/19 03:25
-
時間との勝負だったんだろ
数週間で仕上げろ。各省庁の許可は時間が無く取れないので個人データは無い
その縛りなら予約は出来るけど本人確認は不可能ですってなったと推測 -
bipblog
がしました
-
- 2021/05/19 03:26
-
これこそマイナンバー案件なのに
やっぱ作ってそのまま放置しかできんのな -
bipblog
がしました
-
- 2021/05/19 03:40
-
実践した時点で朝日毎日は終わり。
刑事事件や。 -
bipblog
がしました
-
- 2021/05/19 05:32
-
これ以上のものにするといったって個人情報抱えてないんだからどのみち架空のデータで予約できて予約枠埋める攻撃があり得る問題は変わらないでしょ
技術がお粗末って言ってる奴ほんとに何が問題が分かってないのでは
-
bipblog
がしました
-
- 2021/05/19 05:41
-
ワクチンでなんとかなるの分かったの半年前なのでは
一年はない -
bipblog
がしました
-
- 2021/05/19 05:46
-
防衛相やIPAに報告して対応を待つことという手段も用意されてる以上
手口を報道したことで悪戯が増える問題が懸念されるのだから
今回のような報道の仕方が批判されるのは当然のこと
IPAに言われたことで江川紹子などの目が覚めるといいけれど -
bipblog
がしました
-
- 2021/05/19 06:35
- こんなのちょっと試験したらわかるレベルだろ。仕様通りなら防衛省の担当者が悪いよ。
-
bipblog
がしました
-
- 2021/05/19 06:53
- この記事で何人死ぬんかなあ
-
bipblog
がしました
-
- 2021/05/19 07:03
-
ネットでも散見できる、相手に穴があればいくらでも叩いて良いみたいな精神性って
やっぱマスコミの刷り込みなんじゃね。
幼少期からマスコミに触れ続けて途中で気づけなければ
そういう思考形態になってくんだろうな。
-
bipblog
がしました
-
- 2021/05/19 07:09
-
※1
記事には、その金もうけに使われる可能性もかいてあったぞ。
適当に予約して枠だけ確保して、それを接種券を持っているジジババに売るという方法。
-
bipblog
がしました
-
- 2021/05/19 07:09
- 後になって見つかるのはセーフ理論?
-
bipblog
がしました
-
- 2021/05/19 07:26
-
※34
まず記事読んで批判しろよ。
関係者からのタレコミ。事実確認。→防衛省に問い合わせ。って言う流れ。
本来なら、ここで「記事にするのは待ってくれ」っていう話になるはずやが防衛省の担当が「確認中」って言って逃げた。
んで開発元に問い合わせると「担当者が不在で対応できない」って逃げて、予約が埋まってから記事が出る。
その後は、防衛省逆ギレで「最初から把握しとった」とか言い出して「改修する」ってなった。
あらかじめ知ってたのにマスコミ対応できてなかったのかって話。IPAが言っている一般論とは、ちと違う流れ。 -
bipblog
がしました
-
- 2021/05/19 07:28
-
※27
受けたベンダーにはお気の毒というしかないけど、
時間との勝負にするような
省庁側の無能、無策が論外でダメダメだからな
ワクチンの輸入なんて去年から進めてるんだから、
予約方法が必要になるよね、なんて早くから分かってた話 -
bipblog
がしました
-
- 2021/05/19 07:31
-
※34
その意見は、中の人や業界を知る人側の甘い理屈だな
一般人を巻き込むシステムなんだから、低いレベルに合わせる意識を持つべき
それを避けたいなら、都合の悪い事も普段から公開して信用をつくらなきゃね
自民政権には一番不足してる姿勢だけど -
bipblog
がしました
-
- 2021/05/19 07:42
-
下手な物を作らせて不具合のあるそれを使用する政府もアホやけど市民の邪魔になると分かっているのに与党憎しでその不具合を試し、なおかつ公開する報道機関もアホや。
どちらも市民にとっては厄介な敵か無能な味方や。 -
bipblog
がしました
-
- 2021/05/19 07:43
- まぁ普通は運用者に先に連絡するのは当然だな(マスゴミ様除く)割れサイト報道する様なもんや
-
bipblog
がしました
-
- 2021/05/19 07:44
-
一方通行の予約フォームだろ
個人情報た紐付けできるシステムなんか
保護法のしがらみがあるなかで作れるわけないだろ -
bipblog
がしました
-
- 2021/05/19 07:45
- 架空予約に悪意が認められれば業務妨害で捕まえればいいんじゃん
-
bipblog
がしました
-
- 2021/05/19 08:01
-
本来なら想定されてる問題を想定していないお粗末なシステムだったという記事
要は元からそういったノウハウの無い企業に委託しているって事 -
bipblog
がしました
-
- 2021/05/19 08:29
-
日本は万一に備えて準備しておいて使わなかったら、無駄なことするなって叩くマヌケばかりだからな。
まさに国民総白痴、無能な完璧主義者の集まりって感じ。はやく滅びないかな。 -
bipblog
がしました
-
- 2021/05/19 08:32
-
脆弱性を利用する方法を報道したのが悪いっていうけど
番号をチェックしていないとか、そういうのは動作不良だよなぁ
動作不良があって、さらに別の脆弱性もあるって、あんまりだな -
bipblog
がしました
-
- 2021/05/19 08:57
-
・予約システムに脆弱性がある事
・200億という発注額
・発見した脆弱性をIPAなどに報告せずいきなりネット上に手段を含め公開する事
これらそれぞれ別個の問題だからな
-
bipblog
がしました
-
- 2021/05/19 09:32
-
まぁでもイイネが欲しい一心でバクを公開するのも、一種の病気やと思うわ
ネトゲとかソシャゲでそれをやったらBANだからなぁ
同じプログラム同士、対応も同じで良いと思うけどね -
bipblog
がしました
-
- 2021/05/19 10:04
- 実際問題、公開情報をもとに攻撃された場合は公開したやつも法的措置受ける可能性あるだろ
-
bipblog
がしました
-
- 2021/05/19 10:36
-
障害者が全裸で歩いてようとそれを射殺したら犯罪です
犯罪を正当化するなマヌケ -
bipblog
がしました
-
- 2021/05/19 10:56
-
なんとためのマイナンバーなんやろね
社会保障サービスを受ける際の必須条項にしとけ -
bipblog
がしました
-
- 2021/05/19 11:07
-
※40
ほんとひでえな。ネトウヨぐらいだろ、これでマスコミ叩くの。 -
bipblog
がしました
-
- 2021/05/19 11:25
-
ややこしいな
昔からIPAいえばイソプロピルアルコールや
同じ略称使うなや
-
bipblog
がしました
-
- 2021/05/19 11:32
-
なおIPA創始者様のご意見
Hiromitsu Takagi
私はこの届出制度の提唱者・設計者・運用協力者・有識者研究会委員であり、IPAの広報が取材にこんな回答をしたのであれば、出鱈目であり、社会への悪影響(直ちに公表することが有効である事案が眠ってしまう)も無視できないのであるから、IPAが取り消し、ITmediaの記事を訂正させなければならない。 -
bipblog
がしました
-
- 2021/05/19 12:20
-
IPAにも梯子外されててワロタ。
そりゃクソ仕様の責任まで取れん。 -
bipblog
がしました
-
- 2021/05/19 12:39
- 防衛省に報告したらシステムの修正はできないって回答されたんじゃん
-
bipblog
がしました
-
- 2021/05/19 12:43
- マイナンバー使えば一発なのでは???
-
bipblog
がしました
-
- 2021/05/19 18:57
-
「隣の家に鍵かかってなかったから勝手に入ってうんこして帰った」
これが犯罪なのと同じ -
bipblog
がしました
-
- 2021/05/19 19:27
- 惰弱性ではなく、これがデフォルトです
-
bipblog
がしました
-
- 2021/05/19 19:28
- COCOAでもアベノマスクの検品でも、1度で2度おいしい
-
bipblog
がしました
-
- 2021/05/19 20:23
-
どうかんがえても虚弱性じゃなくて仕様を満たしてない気が^^;
学校の授業以下 -
bipblog
がしました
-
- 2021/05/19 21:54
-
※7
「日本の防衛システムに欠陥がありまっせって」て
世界中に吹聴して誰がうれしいの?
馬鹿なの?
世界中の悪意のある人に、日本のワクチン接種にかかる大事なシステムを
おもちゃにされて、あなたは嬉しいの?
結果として、あなたの大事な人のワクチン接種が遅れて
取り返しのつかない事になるかもしれないよ。
そんなことも想像できないの? -
bipblog
がしました
-
- 2021/05/20 05:11
-
※78
少し違う
「人から借りた大事な物を無人販売に出したら盗られたので逆ギレした」
盗るほうも悪いけど、やり方も手を抜きすぎだろと言われるのと同じ -
bipblog
がしました
information
link
オススメ
METAL GEAR SOLID: MASTER COLLECTION Vol.1 -Switch
【PS5】METAL GEAR SOLID: MASTER COLLECTION Vol.1
アーニャ 冬服Ver.
【PS5】Marvel's Spider-Man 2
桃太郎電鉄ワールド ~地球は希望でまわってる! ~
異世界の創造者
【PS5】ARMORED CORE Ⅵ FIRES OF RUBICON
[山善] 冷水服 水冷服 DIRECTCOOL バッテリー付き
2022 13インチMacBook Air
アルティメットまどか
スーパーマリオRPG -Switch
【アズールレーンASMR】指揮官を癒やし隊! 山城と夏の雨籠もり
五条悟 高専Ver.
【PS5】マリーのアトリエ Remake ~ザールブルグの錬金術士~
【ブルーアーカイブ】ユウカASMR~頑張るあなたのすぐそばに~
Anker マグネット式 ケーブルホルダー
Pikmin 1+2|オンラインコード版
超探偵事件簿 レインコード -Switch
Anker USB3.0 ウルトラスリム 4ポートハブ
【推しの子】 12
【推しの子】 有馬かな
愉快犯が遊ぶからもうダメかな
ただ、こんなのずっと前から想定できてるはずだし時間ない訳じゃないよな?
まぁ、プロ市民達がマイナンバーぼろぼろにしたし、時間かけてもそもそも厳しいのか。
ちゃんと本人確認やったら書類集めやらがめんどくさすぎて予約できなかったり、コロナ下なのに役所に人が溢れたりするしな
bipblog
がしました