「都税クレジットカードお支払いサイト」が復活、ドメインを巡り批判が出る 31
ストーリー by hylom
混乱 部門より
混乱 部門より
Apache Struts 2の脆弱性を狙った攻撃でクレジットカード情報を流出させ、一時停止されていた「都税クレジットカードお支払サイト」が復旧した(ITmedia)。しかし、今度はこのサイトが新たに「https://zei.metro.tokyo.lg.jp/」というドメインを利用することになっている点や表記などが不正確である旨が批判されている(セキュリティ研究者・高木浩光氏によるTogetterまとめ)。
lg.jpは地方公共団体を対象としたドメイン(JPRSの説明)。このドメインを登録できるのは地方公共団体とそれらの組織が行う行政サービスのみとされている。を運営するのはトヨタファイナンスであり、地方公共団体ではない。また、問題の都税クレジットカードお支払サイトにアクセスすると組織名として「東京都」として表示されるようにもなっている。
特に大きな問題点として、情報の取得主体が誰なのかが不明瞭になっている点がある。さらに、個人情報保護法の義務である「利用目的の公表」をしていないとも指摘されている。なお、このサイトは都が運用をトヨタファイナンスに委託しているものではなく、トヨタファイナンス自体が運営主体とのこと。
国税庁の方は (スコア:4, 興味深い)
https://kokuzei.noufu.jp/ [noufu.jp]
2. クレジットカード納付は、国税庁長官が指定した納付受託者に立替払いを委託する手続きです。クレジットカード納付については、国税通則法により、(後略)
高木氏のツイートからリンクされている国税局のサービスでは、「国税庁が指定しているが、民間の業者の事業である」ということをはっきりさせている。
zei.tokyoの問題点はまるで東京都が直接運営しているかのように見せかけていることで、それに対して上がった指摘が直接運営して.lg.jpを取るか、独立した業者だとはっきりさせるか、どっちかにしろというものだった。
それを「.lg.jpで提供すればどんなサービスでもよいのだ」と勘違いして、いわば役所の窓口に業者席を作ってしまったのでは、前よりさらに詐欺的になってしまっているわけだ。
管理職に分かる人がいないということだけは分かるな。
Re:国税庁の方は (スコア:1)
https://zei.tokyo.jp/ [tokyo.jp] を見て .lg.jp にすれば良いと勘違いしてしまった?
Re: (スコア:0)
それそれ
Re: (スコア:0)
それ
落ち着いてください (スコア:1)
……行政サービスのみとされている。を運営するのはトヨタファイナンスであり
あなたが混乱してどうするのです。
Re:落ち着いてください (スコア:2)
Adblockとか入れてると文中のアフィリンクが消えてそんな文章になることがあるよね。それかと思ってしまった。
Re:落ち着いてください (スコア:1)
「を」で始まる文章って初めて見たかも。
#「ををををををを」とかは置いといて
Re: (スコア:0)
Re:落ち着いてください (スコア:2)
「をわりのを」
Re: (スコア:0)
しかしカタカナ表記のヲとすると…
不明瞭? (スコア:0)
サイトのあらゆる場所に社名が見えるし、SSL証明書の名前と実際の運営会社が別々なんてよくあることでしょ。
Re:不明瞭? (スコア:1)
このツィートが一番わかりやすい。
> MAEDA Katsuyuki @keikuma
> 2017-04-25 19:02:57
> もし、東京都主税局が運営主体で、トヨタファイナンスが委託を受けてるという関係だったら、
> zei.metro.tokyo.lg.jp のドメイン名で、東京都 Bureau of Taxation の証明書使っていて、
> 何の問題もないところ、実は、*そうではない*というのが大問題。
普通にただのトヨタファイナンスのサイトなのに、なんで「東京都」って名乗ってんの?という話。
「実際の運営会社は~」とかいう問題じゃない。
Re: (スコア:0)
東京都の中に、どうしても都の直接提供するサービスという体裁を取らせたいという思いがあるんだろうな。
Re: (スコア:0)
高木氏が「不明瞭」と指摘しているのは,「問い合わせ」画面 [tokyo.lg.jp]ですね.「都税クレジットカード納付 サポートセンター」って東京都?トヨタ?ってことでしょう.
なお,この辺を回避するためか「お問合せ内容欄には、お名前、ご住所、電話番号、クレジットカード番号などの個人情報を入力されないようお願いします。」としていますが,メールアドレスは個人情報じゃないのかって?突っ込まれていますね.
Re: (スコア:0)
この間の漏洩事故を受けての、今後このような不祥事が起こったときは、東京都がケツを持つ!という強い責任感の現れと見てよいのではないだろうか。
Re: (スコア:0)
運営実体がトヨタでもあくまで東京都が委託してる
という体裁にしたならそれは言えるけど
これだと頑なに東京都は責任は取らないよって言ってるようなもの。
Re: (スコア:0)
そりゃあ運営してるのも漏洩させたのも、全部東京都は無関係だからなぁ。
無関係なのに何の責任をとるの?って話になる。
せいぜい「こんな分かり難いサイトを野放しにするな!」ってくらい。
Re: (スコア:0)
別ツリーにもあるけど、同じ業者の別の代行サービスではあくまで代行ですよとはっきり示している。
「都は責任を取らないけれど、都の運営と見せかけろ」という指示が飛んでいると考えていいんじゃないか。
Re: (スコア:0)
ITMediaの記事によれば、『東京都主税局は4月24日、情報流出で停止していた都税のクレジットカード納付サイト「都税クレジットカードお支払サイト」を再開したと発表した。』なので、『東京都は無関係』なんてありえないでしょ。
先のカード情報漏えいの被害者宛にも「東京都主税局」と「東京都指定代理納付者 トヨタファイナンス株式会社」の連名で『「都税クレジットカードお支払いサイト」への不正アクセス及び情報流出の可能性に関するお詫びとお願いについて』という文書を「東京都主税局徴収部徴収指導課」という差出人で郵送してるので、無関係とは思ってないだろうけど。
ちなみに、この文書によるとGMOペイメントゲートウェイ株式会社は『「都税クレジットカードお支払サイト」サイト運営受託者』ということになっています。
Re: (スコア:0)
自分たちが運営も管理もしてもいないサイトについて、何をお詫びしてるんだろ?
東京都主税局に、どんな落ち度がある?
こんなアホな会社を指定しちゃってゴメンナサイ、ってこと?
それとも天下りがいっぱいいて、実質トヨタファイナンスは東京都主税局と同一ってこと?
Re: (スコア:0)
自分たちが運営も管理もしてもいないサイトに「東京都」のlg.jpドメイン使わせて、
「東京都」のEVSSLを使わせている点が落ち度
Re: (スコア:0)
下請けがやったんで元請けには責任ないっすってのはいつぞやの下請法改正でなくなったんじゃ・・。
叩きやすい案件だけど (スコア:0)
利用者からしたらドメインレベルでお墨付きある方が安心なんだよね
lg.jpを利用出来る団体ではないけれど都がお墨付き与えてるって見て分かるドメインを都側が新しく用意してくれればいいのかな
Re:叩きやすい案件だけど (スコア:1)
コンビニでガス代を払えるからってコンビニが東京ガスを名乗らないだろ
だから「東京都の方から来たものです」みたいなことを言わせなければいい
Re: (スコア:0)
現実のコンビニはブランドと建物があるから信用される
唐突に出来た見た事もない看板のコンビニ風店舗が公共料金支払い承ってても誰もが初日から安心して利用するとは思えない
ネット上でも信用に足る部分がなきゃ利用者が安心して利用出来るとは思えない
今回は信用保証の方法が悪かった(あなたの話もこの段階)
じゃぁどういう風にするのがいいのかって次の段階の話
Re: (スコア:0)
https://www.metro.tokyo.jp/ [tokyo.jp] の中に「トヨタファイナンスが運営する https://zei.tokyo/ [zei.tokyo] で代行を委託することができます」と案内を書く。
zei.tokyo のEV SSL証明書は運営者のトヨタファイナンスに取らせ、説明ページにも運営者は東京都ではないが指定の業者だと明記する。
または都の条例を改正してzei.metro.tokyo.lg.jpを東京都が運営する。必要なら一部の運営事務は委託しても構わない。
いずれにしろ、「東京都」の名前とマークを指定しただけの業者に名乗らせてはいけないし、使わせたければ責任を都が負わなければならない。
それが「(直接運営していなければ取得できないはずの).lg.jpを使え」ということ。
Re:叩きやすい案件だけど (スコア:1)
> または都の条例を改正してzei.metro.tokyo.lg.jpを東京都が運営する。
都の条例じゃなくて地方自治法ね。
なので、条例改正ではなく地方自治法を改正する勢いでやるなら有りなのかもね。
ただ、納税は文字通り納税者の義務なので、委託者は普通に考えると納税者(利用者)になります。(なので、地方自治法では「指定」事業者という言葉を使っている)
徴税なら役所の義務かもだけど・・・最初からコストかけて徴収して回るのとか疑問w
# それは、シュールで笑っちゃうけどね
Re: (スコア:0)
> または都の条例を改正してzei.metro.tokyo.lg.jpを東京都が運営する。
その場合は、当然、手数料はゼロ%だよな。
(トヨタファイナンスのコレは手数料をとる事業なわけで。)
Re: (スコア:0)
だから「東京都の方から来たものです」みたいなことを言わせなければいい
東京都の方からって、千葉とか埼玉かな?
Re:叩きやすい案件だけど (スコア:1)
都のlg.jpページから、リンク張るだけで良いんじゃね。
Re: (スコア:0)