パスワードを忘れた? アカウント作成
13262882 story
インターネット

「都税クレジットカードお支払いサイト」が復活、ドメインを巡り批判が出る 31

ストーリー by hylom
混乱 部門より

Apache Struts 2の脆弱性を狙った攻撃でクレジットカード情報を流出させ、一時停止されていた「都税クレジットカードお支払サイト」が復旧した(ITmedia)。しかし、今度はこのサイトが新たに「https://zei.metro.tokyo.lg.jp/」というドメインを利用することになっている点や表記などが不正確である旨が批判されている(セキュリティ研究者・高木浩光氏によるTogetterまとめ)。

lg.jpは地方公共団体を対象としたドメイン(JPRSの説明)。このドメインを登録できるのは地方公共団体とそれらの組織が行う行政サービスのみとされている。を運営するのはトヨタファイナンスであり、地方公共団体ではない。また、問題の都税クレジットカードお支払サイトにアクセスすると組織名として「東京都」として表示されるようにもなっている。

特に大きな問題点として、情報の取得主体が誰なのかが不明瞭になっている点がある。さらに、個人情報保護法の義務である「利用目的の公表」をしていないとも指摘されている。なお、このサイトは都が運用をトヨタファイナンスに委託しているものではなく、トヨタファイナンス自体が運営主体とのこと。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2017年04月26日 15時26分 (#3200872)

    https://kokuzei.noufu.jp/ [noufu.jp]

    2. クレジットカード納付は、国税庁長官が指定した納付受託者に立替払いを委託する手続きです。クレジットカード納付については、国税通則法により、(後略)

    高木氏のツイートからリンクされている国税局のサービスでは、「国税庁が指定しているが、民間の業者の事業である」ということをはっきりさせている。
    zei.tokyoの問題点はまるで東京都が直接運営しているかのように見せかけていることで、それに対して上がった指摘が直接運営して.lg.jpを取るか、独立した業者だとはっきりさせるか、どっちかにしろというものだった。
    それを「.lg.jpで提供すればどんなサービスでもよいのだ」と勘違いして、いわば役所の窓口に業者席を作ってしまったのでは、前よりさらに詐欺的になってしまっているわけだ。
    管理職に分かる人がいないということだけは分かるな。

  • by Anonymous Coward on 2017年04月26日 15時13分 (#3200863)

    ……行政サービスのみとされている。を運営するのはトヨタファイナンスであり

    あなたが混乱してどうするのです。

  • by Anonymous Coward on 2017年04月26日 15時08分 (#3200856)

    サイトのあらゆる場所に社名が見えるし、SSL証明書の名前と実際の運営会社が別々なんてよくあることでしょ。

    • by Anonymous Coward on 2017年04月26日 16時05分 (#3200904)

      このツィートが一番わかりやすい。

      > MAEDA Katsuyuki @keikuma
      > 2017-04-25 19:02:57
      > もし、東京都主税局が運営主体で、トヨタファイナンスが委託を受けてるという関係だったら、
      > zei.metro.tokyo.lg.jp のドメイン名で、東京都 Bureau of Taxation の証明書使っていて、
      > 何の問題もないところ、実は、*そうではない*というのが大問題。

      普通にただのトヨタファイナンスのサイトなのに、なんで「東京都」って名乗ってんの?という話。
      「実際の運営会社は~」とかいう問題じゃない。

      親コメント
      • by Anonymous Coward

        東京都の中に、どうしても都の直接提供するサービスという体裁を取らせたいという思いがあるんだろうな。

    • by Anonymous Coward

      高木氏が「不明瞭」と指摘しているのは,「問い合わせ」画面 [tokyo.lg.jp]ですね.「都税クレジットカード納付 サポートセンター」って東京都?トヨタ?ってことでしょう.

      なお,この辺を回避するためか「お問合せ内容欄には、お名前、ご住所、電話番号、クレジットカード番号などの個人情報を入力されないようお願いします。」としていますが,メールアドレスは個人情報じゃないのかって?突っ込まれていますね.

    • by Anonymous Coward

      この間の漏洩事故を受けての、今後このような不祥事が起こったときは、東京都がケツを持つ!という強い責任感の現れと見てよいのではないだろうか。

      • by Anonymous Coward

        運営実体がトヨタでもあくまで東京都が委託してる
        という体裁にしたならそれは言えるけど
        これだと頑なに東京都は責任は取らないよって言ってるようなもの。

        • by Anonymous Coward

          そりゃあ運営してるのも漏洩させたのも、全部東京都は無関係だからなぁ。
          無関係なのに何の責任をとるの?って話になる。
          せいぜい「こんな分かり難いサイトを野放しにするな!」ってくらい。

          • by Anonymous Coward

            別ツリーにもあるけど、同じ業者の別の代行サービスではあくまで代行ですよとはっきり示している。
            「都は責任を取らないけれど、都の運営と見せかけろ」という指示が飛んでいると考えていいんじゃないか。

          • by Anonymous Coward

            ITMediaの記事によれば、『東京都主税局は4月24日、情報流出で停止していた都税のクレジットカード納付サイト「都税クレジットカードお支払サイト」を再開したと発表した。』なので、『東京都は無関係』なんてありえないでしょ。

            先のカード情報漏えいの被害者宛にも「東京都主税局」と「東京都指定代理納付者 トヨタファイナンス株式会社」の連名で『「都税クレジットカードお支払いサイト」への不正アクセス及び情報流出の可能性に関するお詫びとお願いについて』という文書を「東京都主税局徴収部徴収指導課」という差出人で郵送してるので、無関係とは思ってないだろうけど。
            ちなみに、この文書によるとGMOペイメントゲートウェイ株式会社は『「都税クレジットカードお支払サイト」サイト運営受託者』ということになっています。

            • by Anonymous Coward

              自分たちが運営も管理もしてもいないサイトについて、何をお詫びしてるんだろ?
              東京都主税局に、どんな落ち度がある?

              こんなアホな会社を指定しちゃってゴメンナサイ、ってこと?
              それとも天下りがいっぱいいて、実質トヨタファイナンスは東京都主税局と同一ってこと?

              • by Anonymous Coward

                自分たちが運営も管理もしてもいないサイトに「東京都」のlg.jpドメイン使わせて、
                「東京都」のEVSSLを使わせている点が落ち度

          • by Anonymous Coward

            下請けがやったんで元請けには責任ないっすってのはいつぞやの下請法改正でなくなったんじゃ・・。

  • by Anonymous Coward on 2017年04月26日 19時16分 (#3201048)

    利用者からしたらドメインレベルでお墨付きある方が安心なんだよね
    lg.jpを利用出来る団体ではないけれど都がお墨付き与えてるって見て分かるドメインを都側が新しく用意してくれればいいのかな

    • by Anonymous Coward on 2017年04月26日 20時15分 (#3201091)

      コンビニでガス代を払えるからってコンビニが東京ガスを名乗らないだろ
      だから「東京都の方から来たものです」みたいなことを言わせなければいい

      親コメント
      • by Anonymous Coward

        現実のコンビニはブランドと建物があるから信用される
        唐突に出来た見た事もない看板のコンビニ風店舗が公共料金支払い承ってても誰もが初日から安心して利用するとは思えない
        ネット上でも信用に足る部分がなきゃ利用者が安心して利用出来るとは思えない
        今回は信用保証の方法が悪かった(あなたの話もこの段階)
        じゃぁどういう風にするのがいいのかって次の段階の話

        • by Anonymous Coward

          https://www.metro.tokyo.jp/ [tokyo.jp] の中に「トヨタファイナンスが運営する https://zei.tokyo/ [zei.tokyo] で代行を委託することができます」と案内を書く。
          zei.tokyo のEV SSL証明書は運営者のトヨタファイナンスに取らせ、説明ページにも運営者は東京都ではないが指定の業者だと明記する。

          または都の条例を改正してzei.metro.tokyo.lg.jpを東京都が運営する。必要なら一部の運営事務は委託しても構わない。
          いずれにしろ、「東京都」の名前とマークを指定しただけの業者に名乗らせてはいけないし、使わせたければ責任を都が負わなければならない。
          それが「(直接運営していなければ取得できないはずの).lg.jpを使え」ということ。

          • by Anonymous Coward on 2017年04月27日 9時22分 (#3201303)

            > または都の条例を改正してzei.metro.tokyo.lg.jpを東京都が運営する。

            都の条例じゃなくて地方自治法ね。
            なので、条例改正ではなく地方自治法を改正する勢いでやるなら有りなのかもね。

            ただ、納税は文字通り納税者の義務なので、委託者は普通に考えると納税者(利用者)になります。(なので、地方自治法では「指定」事業者という言葉を使っている)
            徴税なら役所の義務かもだけど・・・最初からコストかけて徴収して回るのとか疑問w
            # それは、シュールで笑っちゃうけどね

            親コメント
          • by Anonymous Coward

            > または都の条例を改正してzei.metro.tokyo.lg.jpを東京都が運営する。

            その場合は、当然、手数料はゼロ%だよな。

            (トヨタファイナンスのコレは手数料をとる事業なわけで。)

      • by Anonymous Coward

        だから「東京都の方から来たものです」みたいなことを言わせなければいい

        東京都の方からって、千葉とか埼玉かな?

    • by Anonymous Coward on 2017年04月26日 20時42分 (#3201101)

      都のlg.jpページから、リンク張るだけで良いんじゃね。

      親コメント
    • by Anonymous Coward
      それを悪用しようとした(している)のが、中退社長を自称するGen Matsuda案件な訳ですね。
typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...