パスワードを忘れた? アカウント作成
14407887 story
インターネット

川崎市の野球場予約システムで不正アクセスが多発。利用不能となり紙での申し込みに変更 74

ストーリー by nagazou
腹いせだろうか 部門より
川崎市の野球場ネット予約システムに不正アクセスが相次いで使用不能になっているそうだ。同市では市民の野球場予約に関しては、川崎市公共施設利用予約システム(ふれあいネット)による利用申込を行っていたものの、7月から第三者からの不正なログイン試行によりアカウントがロックがされる事例が多発したという(川崎市その1川崎市その2毎日新聞)。

毎日新聞によると、このシステムはユーザーアカウントは7桁の利用者番号が割り当てられており、暗証番号を5回間違えると利用できなくなるようになっていたとされる。7月の初めから不正なログイン試行が増え、利用者からアカウントロックされたとの苦情が相次いだそうだ。調査によると不正な接続は1000万回以上確認されたとしている。

このため、川崎市は住所や氏名、メールアドレスを登録する別のシステムを導入したが、8月は9万件以上、9月は5日までに15万件を超える不正なアクセスが起きていたとしている。このため川崎市はネットシステムでの受付を休止し、専用の申込用紙を使ったものに変更したとしている。
  • by Anonymous Coward on 2020年09月24日 16時06分 (#3894293)

    市民野球の関係者によると、以前から特定の団体が球場を独占的に予約するような状態が続き、使用しにくくなっていたという。予約されたはずの球場が実際には使われていない例もあった。市の担当者は「接続が殺到すれば市のHPもダウンし、深刻な問題につながる。球場は皆で楽しむ施設なので不正はやめてほしい」と呼びかけている。

    多分、東大阪市の市営球場占拠と同じ話なのだろう。 https://srad.jp/submission/81925/ [srad.jp]

    ここに返信
    • by Anonymous Coward on 2020年09月24日 16時51分 (#3894338)

      「川崎市ですが野球したいのにグラウンドが取れません。」でぐぐると該当しそうな団体名出てくるけど、この件については「この団体のせいで取れないから腹いせでDoS攻撃」なのか「この団体による独占対策を川崎市がとったからこの団体が(以下略」なのかはわからんな。

      攻撃元のIPアドレスはわかっているらしい(毎日記事)「同じIPアドレス(ネットに接続した機器の識別番号)から複数の団体を装い、24時間で2万260件も申し込んだ例も確認された」なので、プロバイダに対して開示請求で特定完了だと思うけど。
      #他人のPCに仕込んだボットでこれ(IP偽装かつ同時アクセス)はありえないと思うので、同一IP(同一マシン)から多重アクセスだと思うけど、スラ度在住のハッカー()の皆さんどう思う

      • by Anonymous Coward on 2020年09月24日 17時44分 (#3894376)

        この件については「この団体のせいで取れないから腹いせでDoS攻撃」なのか「この団体による独占対策を川崎市がとったからこの団体が(以下略」なのかはわからんな。

        限りなく後者に近いと思うけどね。

        7月から第三者からの不正なログイン試行によりアカウントがロックがされる事例が多発したという

        なのに、その団体はなぜか日曜日に頻繁に試合を開催してるし。
        しかも開催地の野球場名はなぜか非公開という(笑)。
        この団体、叩いたらいろいろと埃が出てきそうだな。そこそこの額の会費も徴収してるみたいだし。

        • by Anonymous Coward on 2020年09月24日 18時33分 (#3894415)

          その団体のサイトをざっと見てみたけど、事務所所在地とか、組織構成とか、代表者名とか、
          団体についての詳細な説明がどこにも書かれてないね。金集めてるらしいが決算報告もなし。
          代表者名はいくつか関連サイトと併せることで確証できるが、普通は組織紹介で明記するよな。

          できた当時ならいざ知らず、どんな組織でもコンプライアンス遵守がうるさく言われる昨今、
          こんな運営をする団体が今でも幅を利かせている辺りに闇の深さを感じるわ。

          • by Anonymous Coward

            川崎か・・・

          • by Anonymous Coward

            なにせ川崎市だからね。
            いろいろとアンタッチャブルな存在ってのはあるわけだ。
            まあ、これをいい機会にお日様の下に引きずり出して消毒するのが一番だとは思うけど、
            なかなかうまくはいかないだろうね。
            長い間この状況を維持できているということは、
            是正しようとする働きかけをはじき返すだけの「力」があるって事だから。

  • by hinatan (24342) on 2020年09月24日 15時48分 (#3894270)

    「不正アクセス行為の禁止等に関する法律」で。
    他人の ID を使ったという立て付けで。

    ログが残ってるでしょうし、ドコモ攻撃と違って
    いたずらの延長で複雑なアクセス経路をたどってないと思います。

    これぐらいの調査、開発元がやってもいいはずですが。

    ここに返信
    • by Anonymous Coward on 2020年09月24日 17時13分 (#3894356)

      元記事を読めば分かるけど、開発元による調査なんて必要ない。
      特定の団体がやっていることが、(記事中では断言していないが)恐らく分かっている。

      警察に違法性の有無を相談していると書いてあるけど、要するに市が直接口を出せない利権団体なんだろうね。
      だからこうやって記事にして、遠回しに「やめてください」ってお願いしている。

      • Re:違法なんでは (スコア:2, 参考になる)

        by Anonymous Coward on 2020年09月24日 20時41分 (#3894496)

        何年も前から迷惑がられていて、特定の団体の仕業ということもわかっています。
        https://bakusai.com/thr_res/acode=3/ctgid=123/bid=194/tid=5504051/ [bakusai.com]

      • by Anonymous Coward

        警察に違法性の有無を相談していると書いてあるけど、要するに市が直接口を出せない利権団体なんだろうね。

        まあ、川崎市だからねえ。
        公営施設を事実上独占しているのに、役人が何年(へたしたら何十年?)も見て見ぬふりをしている「団体」。
        どんな素性なのか何となく想像がつく。

    • by Anonymous Coward

      >開発元が
      なんで?開発元にはそんな義務(能力)はないだろう
      調査に協力するくらいが関の山
      # 防犯カメラの製造者に犯人調査させるくらいの違和感

      • by hinatan (24342) on 2020年09月24日 16時33分 (#3894321)

        ログぐらい提供するでしょう

        あと私なら契約書になくてもそれ以上に協力します。

        • by Anonymous Coward

          あ、話が噛み合ってない原因がわかった。
          開発者がシステムの運用もしてると思いこんでるわけね。

          • by Anonymous Coward

            実際開発元が運用していないというのが明確になっていないのであれば、その指摘はブーメランでもあるんだけどわかってるのかな
            まさか開発する会社は運用は一切しないと思い込んでるとか?

            • by Anonymous Coward on 2020年09月25日 0時25分 (#3894608)

              社会常識としては開発と運用は別契約なのです。
              もちろん同じ会社が受注するケースもありますけれど、
              それを暗黙の前提にした議論は常識的ではない。
              それだけの話です。

        • by Anonymous Coward

          そりゃーそんな間抜けシステム作っておいて知らん顔では済まないもんな

        • by Anonymous Coward

          開発元はログなんて持ってないでしょう。
          調査も含めて、そういうのは運用先に要求するものでは?

        • by Anonymous Coward

          運用や保守の業務があるだろうから責務は通常そちらの会社の方でしょうね。
          ログ取ってませんでしたとかは普通にありそうで怖いw

          何れにせよ、システムとしての間抜け感は否めませんね

        • by Anonymous Coward

          開発元=運用者なの?
          運用者でなければログなんぞ持って無いよな。
          だいたい開発者相手でも無制限に情報開示なんぞ出来ないだろ。

          • by Anonymous Coward

            > 開発元=運用者なの?

            hinatanの頭の中ではそう。
            世間一般では違う。

    • by Anonymous Coward

      そんな発想があるなら
      fail2banなど入れているでしょう
      アタック対策にIDをBANするって発想がおかしいもの

      昭和脳で発案し
      平成脳でやっつけ構築
      改修予算どころか保守予算さえ怪しいのでは?

    • by Anonymous Coward

      不正アクセス禁止法は、基本的に他人の正しいID・パスワードでログインする行為を問うものなので、
      間違ったパスワードでロックさせるのは対象外だと思われます。まあ、他の罪でやるしかないですね。

      ってこの議論去年もやったような。

  • by Anonymous Coward on 2020年09月24日 17時19分 (#3894360)

    1) 紙は偉大だ
    2) 神は偉大だ
    3) 髪はi(ry

    ここに返信
    • by Anonymous Coward

      4) カワサキか...

      • by Anonymous Coward

        その文脈の川崎重工業の社名は、創業者の川崎正蔵氏の名字に由来するものであって、神奈川県川崎市は全く関係ありません。

  • by Anonymous Coward on 2020年09月24日 16時27分 (#3894313)

    この横断歩道、ちょっとこのマス目にもかすってるように見えるとか、後ろの小さいの、あれってバスなのか、ただのワンボックスカーなのか?とか。

    ここに返信
  • by Anonymous Coward on 2020年09月24日 17時14分 (#3894358)

    以前から特定の団体が球場を独占的に予約するような状態が続き

    ということは、その気になれば割と簡単に特定できるよね
    「川崎市の公営野球場で頻繁に試合を開催している団体」なわけだから

    ここに返信
    • by Anonymous Coward

      巨人も有る事だし団体自体は多そうだがね。

      なお自分の市は平日に事務所に行って手書きの予約用紙と振り込み用紙(本に手書きなんだ)を受け取り、
      特定銀行の窓口で振り込み(機械では出来ない)しないといけないと言う完全なセキュリティを誇っている。

typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...