【ワクチン架空予約】情報処理推進機構｢報告せずに、脆弱性の存在をネット上にいきなり公開することは絶対に行ってはいけない｣

1: 保守JAPAN 2021/05/19(水) 00:44:11.62 ID:4jSv1oOh9

大規模会場を使った新型コロナワクチンの接種予約システムで架空の予約ができてしまう問題について、

IPA（情報処理推進機構）は5月18日、取材に対し
「脆弱性や手口を不特定多数に公開するのは望ましくない」とコメントした。

脆弱性を発見した際は「まず開発者やIPAの窓口に報告してほしい」という。

脆弱性情報は、開発者が脆弱性を直すために必要な情報である一方で、攻撃に悪用される恐れがある情報でもある。

このためIPAは「発見時は開発者に報告し、極秘事項にすること」とし、

「報告せずに、脆弱性の存在をネット上にいきなり公開することは絶対に行ってはいけない」としている。

また、攻撃者と疑われる可能性があることから「善意であっても必要以上に調査しないこと」ともしている。

架空予約の問題を巡ってはAERA dot.の記者が17日に公開した記事の中で、でたらめな番号を予約システムのフォームに入力しても
予約が取れてしまうことを、実際のシステムで確かめたと記載。

予約後には「予約をキャンセルした」としているものの、
具体的な手口を明らかにした報道手法に対し、Twitterでは「模倣犯による犯行を誘導している」などの指摘が出ていた。

https://www.itmedia....AF%E3%83%81%E3%83%

元スレ
https://asahi.5ch.net/test/read.cgi/newsplus/1621352651/-100

↓をクリック頂けるととても励みになります！

50: 保守JAPAN 2021/05/19(水) 01:32:34.17 ID:dPENXcrj0

>>1
脆弱性っていうかただの欠陥であり行政の過失怠慢じゃん
それを暴くのは報道機関の仕事なんだから仕方ないよ

68: 保守JAPAN 2021/05/19(水) 01:36:36.57 ID:FyES1fLP0

>>50
システムに欠陥あるのは問題だけど、それをわざわざ全国にやり方まで教えて報道するのはどうなの？
皆さん試してくださいって言っているようなもんだよね？

70: 保守JAPAN 2021/05/19(水) 01:37:03.23 ID:dLG4zYzK0

>>68
そもそも仕様上こんなもん公開しちゃいけないんだから叩かれて当たり前

96: 保守JAPAN 2021/05/19(水) 01:39:41.49 ID:FyES1fLP0

>>70
叩かれる叩かれないの問題じゃなくて、なんでわざわざやり方まで丁寧に説明してるんだって話なんだよね
お話にならないよね

59: 保守JAPAN 2021/05/19(水) 01:34:57.05 ID:CMTcukAs0

>>1
普通に不正アクセス禁止法違反だから
普通はやらんのだがな

82: 保守JAPAN 2021/05/19(水) 01:38:04.47 ID:NDlIfP+z0

>>59
いや、不正アクセスを防止する機能自体が付いてないから防止法違反にならない訳で…せいぜい業務妨害が関の山です… orz

6: 保守JAPAN 2021/05/19(水) 00:45:45.60 ID:lGYMUBa00

システム自体には問題ない
東京都の各区市町村のワクチン予約にも個別で同じシステムが使われているし
接種者のデータベース機能も各区市町村で個別に機能していて
架空の予約は出来ない

今回問題になったのは
防衛省のワクチン予約システムは
区市町村のワクチン予約システムとは
完全に独立していて、
また接種者を識別するデータベース機能は
個人情報の扱いからデータベース機能があえて無効にされていただけ
これは迅速に防衛省が接種するために
東京都の65歳以上400万人のデータベースを
一から構築してたら間に合わないから
善意の予約システムとして稼働させた

8: 保守JAPAN 2021/05/19(水) 00:48:37.01 ID:Faw6b5oG0

>>6
うん、だからこれが仕様です。で終わる話じゃん
なんでハッキングだとか脆弱性だとか事が大袈裟になっているのか？？

14: 保守JAPAN 2021/05/19(水) 00:51:34.22 ID:lGYMUBa00

>>8
架空予約するからだよ
その手口もマスメディア使って
広めるからだよ

9: 保守JAPAN 2021/05/19(水) 00:49:01.52 ID:U9+lR5ib0

システムとしては、接種券番号にチェックデジットがあるのかないのかが問題

チェックデジットが有れば不正な番号は弾ける
運用上は、接種券と本人確認書類が有れば良いだけ
簡素なシステムでもやれる

このシステムに払った金と開発した会社は糞だと思うけど

飲食店が要請に従いお店を閉めたり、お酒を提供せずに必死で耐えているのは、このコロナ禍を早く収束させたいから

コロナワクチンの接種を妨害する報道を行った朝日や毎日は、国家と国民に対する裏切りであり、反逆行為だ

政府に進言した上で報道を控えるのが正しい行為である

16: 保守JAPAN 2021/05/19(水) 00:52:14.91 ID:9l+m1GeN0

この問題はシステムのバグとかどうとかの問題じゃなくて
防衛省にワクチンを接種させようとした制度設計の問題なんだよ
防衛省主体で接種させるとどうやっても破綻したシステムしか作れない

22: 保守JAPAN 2021/05/19(水) 00:56:54.60 ID:NbBoCnQj0

竹中　対　朝日毎日

相討ちにならないかなあ

23: 保守JAPAN 2021/05/19(水) 01:00:18.38 ID:hPQT3SWW0

IPAもさあ、こんな糞システム公開する前に気づけよって説教しろや、なあ

24: 保守JAPAN 2021/05/19(水) 01:01:05.68 ID:7e1Ro+Uf0

システムがクソなのは擁護の余地もないが、その悪用方法を記事にして閲覧数欲しさにネットに公開するようなやつも模倣犯誘発させたいのかって意味でまずいことしてるのは間違いない

25: 保守JAPAN 2021/05/19(水) 01:03:59.17 ID:9l+m1GeN0

接種券番号は各自治体で管理しているから
防衛省は接種券番号が正しいかどうかをチェックする手立てがない
そもそも防衛省に接種させようとしたこと自体が大問題

防衛省に接種させようと指示した管に責任があるし
それではうまくいかないと指摘して止めさせなかった官僚にも責任がある

46: 保守JAPAN 2021/05/19(水) 01:31:46.46 ID:mbFDtriE0

セキュリティの不備をついたというほど大層ではないけど
だからといって手口は公開しなくてもええとは思う
まぁこんな中抜きしてこんな糞システムつくっちゃうのが一番良くないんだが

49: 保守JAPAN 2021/05/19(水) 01:32:15.39 ID:1tQvIERE0

防衛省は接種券のデータベース知らないので誰が本当で誰がイタズラか判断できない

63: 保守JAPAN 2021/05/19(水) 01:35:55.52 ID:A0/5WAir0

防衛省の人員動員するにしても
それは医者とかナース相当とかの話ではないのか
なんで予約システムまでやらせるんだ

72: 保守JAPAN 2021/05/19(水) 01:37:15.27 ID:qXMmb3090

朝日新聞/毎日新聞「こんなイタズラできちゃうけど良い子は絶対にマネしないでね」

73: 保守JAPAN 2021/05/19(水) 01:37:17.43 ID:bVbUjtSc0

発注した人と設計した人は力量不足
流布したマスコミは悪質だし
便乗してイタズラしたやつは犯罪者

それだけ

77: 保守JAPAN 2021/05/19(水) 01:37:37.74 ID:vCrnzZi70

新聞記者が、無知過ぎる。
そもそも欠陥のないシステムなんざ存在しない。
欠陥はつきもの。

今回、その記者さんたちは、
その欠陥を世に知らしめることの価値と、世に知らせないことの価値の秤が狂ったんだよ。

そのシステムが最大限の力を発揮しなければいけないタイミングで、その不具合を世に報せることと、しばらく待ってそのシステムが役目を終えてから不具合を報せることを天秤にかけて、熟慮すべきだろ。
自分が世の中に報せることが、本当に世の役に立つのか？、その報せは本当に今じゃなければいけないのか？
私には、その記者さんたちが、5分間脳内シュミレーションすれば、こんな選択することはなかったと思う。
もし、自分達の判断が正当であり、非の打ちどころもないと主張するのであれば、自分の言葉でそれを新聞の一面に堂々と書けばいい。

98: 保守JAPAN 2021/05/19(水) 01:39:48.66 ID:Wa+FMbH80

簡素なシステムにしてももっとやりようがあったな