アカウント名:
パスワード:
「東京 ワクチン大規模接種 架空番号で予約可能な状態 改修困難」運用でカバー! https://www3.nhk.or.jp/news/html/20210517/k10013036311000.html [nhk.or.jp] からの
↓
「対応可能な範囲で改修を検討」
そして↓
岸防衛大臣「朝日・毎日新聞記者は虚偽入力を行っておりきわめて悪質」 https://twitter.com/ [twitter.com]
最初に防衛省に問い合わせて許可もらってから記事にするでしょこんな脆弱性がありますって断りもなしに記事にするのってどうなのよ
許可さえ出さなければ永久に脆弱性を放置できてしまうことになってしまいますので、許可が必要というルールはありえないです。ゼロデイ攻撃を抑止するという観点から、通常の脆弱性報告手順だと直接なりIPAを経由するなりして報告し、修正されるか一定期間放置されたら公表、というのが一応業界的には正しい手順となっています。今回の場合は防衛省側には記事の前に話が行っていたわけですから、公表まで待ってやる時間が適切だったかどうかというところが問題になります。今回の件だと申込開始直後からチェックガバガバとして5chで祭りになっていた、つまり既にゼロデイ攻撃が始まっていたわけですから、即時公開やむなしという判断も絶対なしとは言えません。とはいえ一般論を言えば24時間くらいは待ってやれよとは思います。
そもそも論としては、(我々の認識と違って)この問題はゼロデイ公表が悪なのだという話になっていません。そこを叩くのなら分かるんですけどね。政府の怒りは「朝日が不具合を発見した」「検証した」ことに向かっており、これはセキュリティ屋さん的な観点で言えば「おっとサイバーノーガード戦法っすか?」って話にはなってしまいます。
問題の発生ではなく問題の発覚を問題視するのが実に日本的だなぁと。
> 今回の件だと申込開始直後からチェックガバガバとして5chで祭りになっていた
ほんとに? 少なくともニュー速(嫌儲)で祭りになったのはAERAdotの記事をソースにしたスレが立ってからの話だと思いますが……https://leia.5ch.net/test/read.cgi/poverty/1621239469/ [5ch.net]
そうですよね
このスレッドも脊髄反射で政府批判のメディアを叩くウヨ脳の方々が湧いていますがITシステムセキュリティの観点から見れば信じ難い愚行ですもしこの業界で仕事しているのならそこは履き違えないようにしないとご自身の職務品質にも影響します
そしてそもそも今回のって脆弱性というレベルですらない仕様の問題かもしれませんね
一方のマスコミ、野党側も、問題があるんだから公表して何が悪いという論になってて、今後、対策の必要な本当に深刻な脆弱性が見つかっても、対策する間もなく公表されちゃうんでしょうね。
まあ現実的にはマスコミや野党なんていう『一般人』が脆弱性を知っている時点でほぼ確実にゼロデイ脆弱性なので即時公開已むなしなんだけどな。対策する間もクソも、そもそも今回のケースなんて公表されなきゃ対策しなかっただろうし。
対策の必要すらないような問題ならなおさら「なんでバラしたんだ!」って発狂する必要なくね?悪用されると問題のある穴であるということはこの議論の前提になってると思うんだけどw
脆弱性じゃなく仕様ですって返ってくるんだから公開されてもなにも困らないじゃん。
防衛省関係者が内部告発したのをマスコミが記事にしてるんやで。。。記事にしてもいいですかって聞かれたらダメっていうだろうし内部告発によると修正するつもりもなかったそうだから不具合報告しても意味ないだろうね。
国民の大多数が利用してる最中に問題が起きるより早期に報道してもらって逆に良かったと思うよ。
本件に関しては公開しても混乱を助長するだけで何ら益が無い。竹中関連の企業に税金かけてこんなゴミを作りましたと言いたいのは理解できるが、それを今やる必要性は無い。
公開するなら話題が風化してからにしないとね
「報道すること」に理はあるとは思う「具体的にダメなところを列挙する」のは、便乗犯みたいなのが湧く(この場合愉快犯というより自分の利益のためにカラ予約をしたり他人に”権利”を売ろうとするタイプ)のがマズい「あそこの家、防犯対策甘いッスよ」はいいけど「あそこの家の鍵、どんな鍵でもドアあきますよ」はマズい、みたいな
許可が出なかったら公益のために公開するのが当たり前
「 【独自】「誰でも何度でも予約可能」ワクチン大規模接種東京センターの予約システムに重大欠陥 [asahi.com]」
防衛省にさっそく取材を申し込むと、以下の回答がきた。「現在、担当部署に確認している」
上記の記事を読むと、 防衛省からのリーク情報で欠陥をみつけて、実際に試してみた ↓ 実際に予約が取れてしまった ↓ 防衛省の公式窓口に問い合わせた ↓ 公式窓口は知らなかったという感じでしょ。
ちなみに防衛省の元トップは、今回の官邸の「思いつき」に
> 最初に防衛省に問い合わせて許可もらってから記事にするでしょ> こんな脆弱性がありますって断りもなしに記事にするのってどうなのよ
防衛省に問い合わせしていないと何故わかったの?断りもなく記事にしたって何故分かったの?
防衛省に問い合わせて、事実確認をしたうえですぐ改修するんですかって聞いたら「直せないからそのまま」って答えたもんだから、これは報じるしかないなって記事にした可能性もあるよね。政府に都合が悪くて「記事にしちゃだめ」って言われたら記事にできないの?
そんなの北朝鮮じゃん。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
ほんと、この国はナニならまともに作れるんだ (スコア:5, すばらしい洞察)
「東京 ワクチン大規模接種 架空番号で予約可能な状態 改修困難」
運用でカバー!
https://www3.nhk.or.jp/news/html/20210517/k10013036311000.html [nhk.or.jp]
からの
↓
「対応可能な範囲で改修を検討」
そして
↓
岸防衛大臣「朝日・毎日新聞記者は虚偽入力を行っておりきわめて悪質」
https://twitter.com/ [twitter.com]
Re:ほんと、この国はナニならまともに作れるんだ (スコア:2, すばらしい洞察)
最初に防衛省に問い合わせて許可もらってから記事にするでしょ
こんな脆弱性がありますって断りもなしに記事にするのってどうなのよ
Re:ほんと、この国はナニならまともに作れるんだ (スコア:5, すばらしい洞察)
許可さえ出さなければ永久に脆弱性を放置できてしまうことになってしまいますので、許可が必要というルールはありえないです。
ゼロデイ攻撃を抑止するという観点から、通常の脆弱性報告手順だと直接なりIPAを経由するなりして報告し、修正されるか一定期間放置されたら公表、というのが一応業界的には正しい手順となっています。
今回の場合は防衛省側には記事の前に話が行っていたわけですから、公表まで待ってやる時間が適切だったかどうかというところが問題になります。
今回の件だと申込開始直後からチェックガバガバとして5chで祭りになっていた、つまり既にゼロデイ攻撃が始まっていたわけですから、即時公開やむなしという判断も絶対なしとは言えません。
とはいえ一般論を言えば24時間くらいは待ってやれよとは思います。
そもそも論としては、(我々の認識と違って)この問題はゼロデイ公表が悪なのだという話になっていません。そこを叩くのなら分かるんですけどね。
政府の怒りは「朝日が不具合を発見した」「検証した」ことに向かっており、これはセキュリティ屋さん的な観点で言えば「おっとサイバーノーガード戦法っすか?」って話にはなってしまいます。
問題の発生ではなく問題の発覚を問題視するのが実に日本的だなぁと。
Re: (スコア:0)
> 今回の件だと申込開始直後からチェックガバガバとして5chで祭りになっていた
ほんとに? 少なくともニュー速(嫌儲)で祭りになったのはAERAdotの記事をソースにしたスレが立ってからの話だと思いますが……
https://leia.5ch.net/test/read.cgi/poverty/1621239469/ [5ch.net]
Re: (スコア:0)
そうですよね
このスレッドも脊髄反射で政府批判のメディアを叩くウヨ脳の方々が湧いていますが
ITシステムセキュリティの観点から見れば信じ難い愚行です
もしこの業界で仕事しているのならそこは履き違えないようにしないとご自身の職務品質にも影響します
そしてそもそも今回のって脆弱性というレベルですらない仕様の問題かもしれませんね
Re: (スコア:0)
一方のマスコミ、野党側も、問題があるんだから公表して何が悪いという論になってて、
今後、対策の必要な本当に深刻な脆弱性が見つかっても、対策する間もなく公表されちゃうんでしょうね。
Re: (スコア:0)
まあ現実的にはマスコミや野党なんていう『一般人』が脆弱性を知っている時点でほぼ確実にゼロデイ脆弱性なので即時公開已むなしなんだけどな。
対策する間もクソも、そもそも今回のケースなんて公表されなきゃ対策しなかっただろうし。
Re:ほんと、この国はナニならまともに作れるんだ (スコア:1)
Re: (スコア:0)
対策の必要すらないような問題ならなおさら「なんでバラしたんだ!」って発狂する必要なくね?
悪用されると問題のある穴であるということはこの議論の前提になってると思うんだけどw
Re:ほんと、この国はナニならまともに作れるんだ (スコア:1)
脆弱性じゃなく仕様ですって返ってくるんだから公開されてもなにも困らないじゃん。
Re:ほんと、この国はナニならまともに作れるんだ (スコア:1)
防衛省関係者が内部告発したのをマスコミが記事にしてるんやで。。。
記事にしてもいいですかって聞かれたらダメっていうだろうし
内部告発によると修正するつもりもなかったそうだから不具合報告しても意味ないだろうね。
国民の大多数が利用してる最中に問題が起きるより早期に報道してもらって逆に良かったと思うよ。
Re: (スコア:0)
本件に関しては公開しても混乱を助長するだけで何ら益が無い。
竹中関連の企業に税金かけてこんなゴミを作りましたと言いたいのは理解できるが、
それを今やる必要性は無い。
Re: (スコア:0)
公開するなら話題が風化してからにしないとね
Re: (スコア:0)
「報道すること」に理はあるとは思う
「具体的にダメなところを列挙する」のは、便乗犯みたいなのが湧く(この場合愉快犯というより自分の利益のためにカラ予約をしたり他人に”権利”を売ろうとするタイプ)のがマズい
「あそこの家、防犯対策甘いッスよ」はいいけど「あそこの家の鍵、どんな鍵でもドアあきますよ」はマズい、みたいな
Re:ほんと、この国はナニならまともに作れるんだ (スコア:1)
許可が出なかったら公益のために公開するのが当たり前
朝日は掲載前取材している (スコア:0)
「 【独自】「誰でも何度でも予約可能」ワクチン大規模接種東京センターの予約システムに重大欠陥 [asahi.com]」
防衛省にさっそく取材を申し込むと、以下の回答がきた。
「現在、担当部署に確認している」
上記の記事を読むと、
防衛省からのリーク情報で欠陥をみつけて、実際に試してみた
↓
実際に予約が取れてしまった
↓
防衛省の公式窓口に問い合わせた
↓
公式窓口は知らなかった
という感じでしょ。
ちなみに防衛省の元トップは、今回の官邸の「思いつき」に
Re: (スコア:0)
> 最初に防衛省に問い合わせて許可もらってから記事にするでしょ
> こんな脆弱性がありますって断りもなしに記事にするのってどうなのよ
防衛省に問い合わせしていないと何故わかったの?
断りもなく記事にしたって何故分かったの?
防衛省に問い合わせて、事実確認をしたうえですぐ改修するんですかって聞いたら「直せないからそのまま」って答えたもんだから、これは報じるしかないなって記事にした可能性もあるよね。
政府に都合が悪くて「記事にしちゃだめ」って言われたら記事にできないの?
そんなの北朝鮮じゃん。