川崎市の野球場予約システムで不正アクセスが多発。利用不能となり紙での申し込みに変更 74
ストーリー by nagazou
腹いせだろうか 部門より
腹いせだろうか 部門より
川崎市の野球場ネット予約システムに不正アクセスが相次いで使用不能になっているそうだ。同市では市民の野球場予約に関しては、川崎市公共施設利用予約システム(ふれあいネット)による利用申込を行っていたものの、7月から第三者からの不正なログイン試行によりアカウントがロックがされる事例が多発したという(川崎市その1、川崎市その2、毎日新聞)。
毎日新聞によると、このシステムはユーザーアカウントは7桁の利用者番号が割り当てられており、暗証番号を5回間違えると利用できなくなるようになっていたとされる。7月の初めから不正なログイン試行が増え、利用者からアカウントロックされたとの苦情が相次いだそうだ。調査によると不正な接続は1000万回以上確認されたとしている。
このため、川崎市は住所や氏名、メールアドレスを登録する別のシステムを導入したが、8月は9万件以上、9月は5日までに15万件を超える不正なアクセスが起きていたとしている。このため川崎市はネットシステムでの受付を休止し、専用の申込用紙を使ったものに変更したとしている。
毎日新聞によると、このシステムはユーザーアカウントは7桁の利用者番号が割り当てられており、暗証番号を5回間違えると利用できなくなるようになっていたとされる。7月の初めから不正なログイン試行が増え、利用者からアカウントロックされたとの苦情が相次いだそうだ。調査によると不正な接続は1000万回以上確認されたとしている。
このため、川崎市は住所や氏名、メールアドレスを登録する別のシステムを導入したが、8月は9万件以上、9月は5日までに15万件を超える不正なアクセスが起きていたとしている。このため川崎市はネットシステムでの受付を休止し、専用の申込用紙を使ったものに変更したとしている。
毎日新聞の記事より引用 (スコア:3, 興味深い)
市民野球の関係者によると、以前から特定の団体が球場を独占的に予約するような状態が続き、使用しにくくなっていたという。予約されたはずの球場が実際には使われていない例もあった。市の担当者は「接続が殺到すれば市のHPもダウンし、深刻な問題につながる。球場は皆で楽しむ施設なので不正はやめてほしい」と呼びかけている。
多分、東大阪市の市営球場占拠と同じ話なのだろう。 https://srad.jp/submission/81925/ [srad.jp]
Re:毎日新聞の記事より引用 (スコア:2, 興味深い)
「川崎市ですが野球したいのにグラウンドが取れません。」でぐぐると該当しそうな団体名出てくるけど、この件については「この団体のせいで取れないから腹いせでDoS攻撃」なのか「この団体による独占対策を川崎市がとったからこの団体が(以下略」なのかはわからんな。
攻撃元のIPアドレスはわかっているらしい(毎日記事)「同じIPアドレス(ネットに接続した機器の識別番号)から複数の団体を装い、24時間で2万260件も申し込んだ例も確認された」なので、プロバイダに対して開示請求で特定完了だと思うけど。
#他人のPCに仕込んだボットでこれ(IP偽装かつ同時アクセス)はありえないと思うので、同一IP(同一マシン)から多重アクセスだと思うけど、スラ度在住のハッカー()の皆さんどう思う
Re:毎日新聞の記事より引用 (スコア:3, 興味深い)
この件については「この団体のせいで取れないから腹いせでDoS攻撃」なのか「この団体による独占対策を川崎市がとったからこの団体が(以下略」なのかはわからんな。
限りなく後者に近いと思うけどね。
7月から第三者からの不正なログイン試行によりアカウントがロックがされる事例が多発したという
なのに、その団体はなぜか日曜日に頻繁に試合を開催してるし。
しかも開催地の野球場名はなぜか非公開という(笑)。
この団体、叩いたらいろいろと埃が出てきそうだな。そこそこの額の会費も徴収してるみたいだし。
Re:毎日新聞の記事より引用 (スコア:3, 興味深い)
その団体のサイトをざっと見てみたけど、事務所所在地とか、組織構成とか、代表者名とか、
団体についての詳細な説明がどこにも書かれてないね。金集めてるらしいが決算報告もなし。
代表者名はいくつか関連サイトと併せることで確証できるが、普通は組織紹介で明記するよな。
できた当時ならいざ知らず、どんな組織でもコンプライアンス遵守がうるさく言われる昨今、
こんな運営をする団体が今でも幅を利かせている辺りに闇の深さを感じるわ。
Re: (スコア:0)
川崎か・・・
Re: (スコア:0)
なにせ川崎市だからね。
いろいろとアンタッチャブルな存在ってのはあるわけだ。
まあ、これをいい機会にお日様の下に引きずり出して消毒するのが一番だとは思うけど、
なかなかうまくはいかないだろうね。
長い間この状況を維持できているということは、
是正しようとする働きかけをはじき返すだけの「力」があるって事だから。
Re: (スコア:0)
Re:毎日新聞の記事より引用 (スコア:1)
林家p
違法なんでは (スコア:1)
「不正アクセス行為の禁止等に関する法律」で。
他人の ID を使ったという立て付けで。
ログが残ってるでしょうし、ドコモ攻撃と違って
いたずらの延長で複雑なアクセス経路をたどってないと思います。
これぐらいの調査、開発元がやってもいいはずですが。
Re:違法なんでは (スコア:4, 興味深い)
元記事を読めば分かるけど、開発元による調査なんて必要ない。
特定の団体がやっていることが、(記事中では断言していないが)恐らく分かっている。
警察に違法性の有無を相談していると書いてあるけど、要するに市が直接口を出せない利権団体なんだろうね。
だからこうやって記事にして、遠回しに「やめてください」ってお願いしている。
Re:違法なんでは (スコア:2, 参考になる)
何年も前から迷惑がられていて、特定の団体の仕業ということもわかっています。
https://bakusai.com/thr_res/acode=3/ctgid=123/bid=194/tid=5504051/ [bakusai.com]
Re: (スコア:0)
警察に違法性の有無を相談していると書いてあるけど、要するに市が直接口を出せない利権団体なんだろうね。
まあ、川崎市だからねえ。
公営施設を事実上独占しているのに、役人が何年(へたしたら何十年?)も見て見ぬふりをしている「団体」。
どんな素性なのか何となく想像がつく。
Re: (スコア:0)
>開発元が
なんで?開発元にはそんな義務(能力)はないだろう
調査に協力するくらいが関の山
# 防犯カメラの製造者に犯人調査させるくらいの違和感
Re:違法なんでは (スコア:1)
ログぐらい提供するでしょう
あと私なら契約書になくてもそれ以上に協力します。
Re: (スコア:0)
あ、話が噛み合ってない原因がわかった。
開発者がシステムの運用もしてると思いこんでるわけね。
Re: (スコア:0)
実際開発元が運用していないというのが明確になっていないのであれば、その指摘はブーメランでもあるんだけどわかってるのかな
まさか開発する会社は運用は一切しないと思い込んでるとか?
Re:違法なんでは (スコア:1)
社会常識としては開発と運用は別契約なのです。
もちろん同じ会社が受注するケースもありますけれど、
それを暗黙の前提にした議論は常識的ではない。
それだけの話です。
Re: (スコア:0)
まあそうやって相手を攻撃して矛先をそらさないと、自分が開発と運用の区別がついてないことを認めるしかなくなっちゃうから仕方ないよねぇ。
Re: (スコア:0)
そりゃーそんな間抜けシステム作っておいて知らん顔では済まないもんな
Re:違法なんでは (スコア:1)
市役所に納品するようなこのようなシステムでアカウントロックがあるなんてたいしたものだと思います。
Re: (スコア:0)
開発元はログなんて持ってないでしょう。
調査も含めて、そういうのは運用先に要求するものでは?
Re: (スコア:0)
運用や保守の業務があるだろうから責務は通常そちらの会社の方でしょうね。
ログ取ってませんでしたとかは普通にありそうで怖いw
何れにせよ、システムとしての間抜け感は否めませんね
Re: (スコア:0)
開発元=運用者なの?
運用者でなければログなんぞ持って無いよな。
だいたい開発者相手でも無制限に情報開示なんぞ出来ないだろ。
Re: (スコア:0)
> 開発元=運用者なの?
hinatanの頭の中ではそう。
世間一般では違う。
Re: (スコア:0)
それはどこの大ホワイト会社ですか。
Re: (スコア:0)
そのくらい甘い基準だと、君の勤め先以外はだいたい大ホワイト企業だね。
Re: (スコア:0)
ホワイト云々ではなく、入札時の仕様によると思うけど・・・。
普通は開発と運用の入札が別れているんじゃないのかな。
コンサルと設計と開発と運用同じ会社が受注できないように制限かかってたりすることもあるし。
Re:違法なんでは (スコア:1)
実際の物は見てませんけど、小規模なものだろうからそんな分割はしないと思いました。
Re: (スコア:0)
行政で複数年度の会計になるような入札ってすごく嫌われたような気がしていましたけど
小規模だと許される感じなんですかね・・・?
開発+運用5年の一括入札とかありなのか!
# 地元しか知らないですけど。
Re: (スコア:0)
50億規模でもまるっと出てるから問題ないのでしょう。
https://www.city.kawasaki.jp/230/page/0000112451.html [kawasaki.jp]
少なくとも川崎では。
Re: (スコア:0)
そんな発想があるなら
fail2banなど入れているでしょう
アタック対策にIDをBANするって発想がおかしいもの
昭和脳で発案し
平成脳でやっつけ構築
改修予算どころか保守予算さえ怪しいのでは?
発想がおかしいって マジか? (スコア:1)
>アタック対策にIDをBANするって発想がおかしいもの
ID をロックしないと majica みたいになりますよ?
srad の下にある majica が攻撃された記事ですが
>カードの裏面に記載されている番号を入力する仕組みでしたが、入力を何度間違えてもロッ>クがかからない仕様だったということです。
https://news.yahoo.co.jp/articles/2bf9491ab6749a437328fe883783afcdf9936fb8 [yahoo.co.jp]
Re:発想がおかしいって マジか? (スコア:1)
>アタック対策にIDをBANするって発想がおかしいもの
ID をロックしないと majica みたいになりますよ?
IDに対してランダムにパスワード入れてブロックされることを「BANされた」と感じるのは「ランダムパスワードでアタックしている人」のpoint of view。
普通の人(アタックしない人)にとってはそれは「IDが保護された」という表現でとらえられるシステムの応答。
(#3894318) のものの見方になにかバイアスがかかっていると思ったほうがよさげ
Re: (スコア:0)
攻撃されたのは
majica じゃなくて
mijica だぞ
Re:発想がおかしいって マジか? (スコア:2, おもしろおかしい)
まじか・・・
Re: (スコア:0)
あっ(冊子)
Re: (スコア:0)
不正アクセス禁止法は、基本的に他人の正しいID・パスワードでログインする行為を問うものなので、
間違ったパスワードでロックさせるのは対象外だと思われます。まあ、他の罪でやるしかないですね。
ってこの議論去年もやったような。
Re: (スコア:0)
偽計業務妨害あたりは適用可能では
Re:違法なんでは (スコア:5, 参考になる)
Librahack事件では1秒1回、3万3千回アクセスで業務妨害容疑で逮捕 [it.srad.jp]。
起訴猶予 [security.srad.jp]になったけど。
Re: (スコア:0)
参考になる+
Re: (スコア:0)
フォームまで作って個人カードのカード番号やパスワードを報告させているところを見ると
不正アクセス行為の禁止等に関する法律でも行けるんじゃないかな。
カードたくさん集めて登録して抽選の確率上げていたんだろうなー
Q:この件から導き出される事は? (スコア:1)
1) 紙は偉大だ
2) 神は偉大だ
3) 髪はi(ry
Re: (スコア:0)
4) カワサキか...
Re: (スコア:0)
その文脈の川崎重工業の社名は、創業者の川崎正蔵氏の名字に由来するものであって、神奈川県川崎市は全く関係ありません。
またCAPTCHA増えるんかな? (スコア:0)
この横断歩道、ちょっとこのマス目にもかすってるように見えるとか、後ろの小さいの、あれってバスなのか、ただのワンボックスカーなのか?とか。
Re:またCAPTCHA増えるんかな? (スコア:2)
信号機のポール部分は、信号機に含まないと知って突破率が上がりましたorz
独占的に使用していた団体 (スコア:0)
以前から特定の団体が球場を独占的に予約するような状態が続き
ということは、その気になれば割と簡単に特定できるよね
「川崎市の公営野球場で頻繁に試合を開催している団体」なわけだから
Re: (スコア:0)
巨人も有る事だし団体自体は多そうだがね。
なお自分の市は平日に事務所に行って手書きの予約用紙と振り込み用紙(本に手書きなんだ)を受け取り、
特定銀行の窓口で振り込み(機械では出来ない)しないといけないと言う完全なセキュリティを誇っている。
Re: (スコア:0)
読売ジャイアンツ球場は東京読売巨人軍の私営施設だがな。
練習で市内の公営野球場は使わないだろう。
Re:独占的に使用していた団体 (スコア:2)