岸防衛大臣、実在しない接種券番号で予約した新聞社に抗議する方針 180
ストーリー by nagazou
IPAの言い分は分かるけども 部門より
IPAの言い分は分かるけども 部門より
先日、大規模接種会場での予約システムに不具合があることが報じられたが、岸防衛大臣は18日にTwitterで投稿を行い、架空のデータを入力して検証した朝日新聞出版と毎日新聞社に対し、抗議する姿勢を見せている(岸信夫Twitter、産経新聞、読売新聞、ITmedia)。投稿内容は以下の通り。
自衛隊大規模接種センター予約の報道について。 今回、朝日新聞出版AERAドット及び毎日新聞の記者が不正な手段により予約を実施した行為は、本来のワクチン接種を希望する65歳以上の方の接種機会を奪い、貴重なワクチンそのものが無駄になりかねない極めて悪質な行為です。
なお、システムの問題に関しては
他方、今回ご指摘の点は真摯に受け止め、市区町村コードが真正な情報である事が確認できるようにする等、対応可能な範囲で改修を検討してまいります
としている。合わせてIPA(情報処理推進機構)も18日、ITmediaの取材に回答する形で、「脆弱性や手口を不特定多数に公開するのは望ましくない」とするコメントを発表した。IPAは脆弱性を発見した場合は、開発者やIPAの窓口に報告してほしいとしている(ITmediaその2)。
そんなもんでしょ (スコア:5, すばらしい洞察)
確かにシステムはへぼい、へぼいが、その多くが
* ID作ってSMSなりメールで認証してパスワード作ってログインして…とかできる人が対象なシステムではない
* 接種番号のフォーマットもわからない、ってか決まっていない
ことからある意味「仕方ないへぼさ」だろう
個別の連絡も行くんだし、
大規模接種会場は認証入りのまともなつくりでもよかった気もするけど、
本気で実在の個人と紐づいたような個人認証しようと思うと
証明書を撮影してアップロードしてくださいとか対象層を考えるとかなり無理あるつくりになっちゃうし
それならもういっそぶっ通し、ってのはありなんかなーと思い直した
現地で徹夜で並ぶとかが防げりゃいいんだよ程度の開き直りだな
それを公言しない(年寄りに難しいもん扱えないだろ!住民票アップデートとかしたいのか!と言えない)んだったら
「ごめんね」「残念です」ぐらいにしておくのが妥当じゃないだろうか
各社の検証をまねてDOSする奴が出てきても困るから怒ってる困ってるポーズは必要だろう
そう思えばTwitterで「厳重に抗議」ってのは結構いいところじゃないのかな
もし訴訟だとか呼び出して叱責とかやるつもりなのであれば、それはやりすぎだと思う
Re:そんなもんでしょ (スコア:2)
ゴメン 住民票アップロード の間違いっす
Re:そんなもんでしょ (スコア:2, 興味深い)
だからマイナンバーを使えと
「マイナンバーを使うな、だけど円滑に予約できるようにしろ」
って要求と
「人を殺すな、だけど平和は守れ」
っていう防衛省への要求と似てはいる。
Re:そんなもんでしょ (スコア:3)
なるほど、だから防衛省なんですね!
矛盾に耐え、非難を受けるのに慣れてると
辛い仕事だなぁ
Re:そんなもんでしょ (スコア:1)
Re:そんなもんでしょ (スコア:2)
電話より輻輳しないぐらいの理由しかないですな
せっかく自衛隊が噛んでるんだから自衛隊員使っての人海戦術コールセンターはありだったかもしれない?
Re:そんなもんでしょ (スコア:1)
Re:そんなもんでしょ (スコア:2)
自衛隊が設営運用依頼されたって話ですし
デジタル庁が出張るほどでもなく、ガンガン出張っても大して改善できる気がしない
デジタル庁が存在感出したいならもっとやることあるだろうから
そっちやってほしいですねぇ…
目立つことは目立つけど先に書いたように根本仕様に無理があるシステムは
どうやったってうまくできないですし
Re:そんなもんでしょ (スコア:2)
たしかにそこもヘボいけど、
システムとして問題になってるのは認証とか予約番号の確認なのかな、と思って書きませんでした(長くなりすぎたので消した)
月日や住所コードは存在しないものに間違えたら弾くことができるけど
存在する範囲で間違えたどうせ何もできないんだし、
みっともないぐらいで大して変わるものでもないかな、と
むしろ「絶対間違ってんなこれ」と明確になるまであるかも?
慣れてない住所コードを入れさせるのはどーかと思うけどね
郵便番号とかだとずれてたりするんかなぁ
冗長性のために住所を文字で入れるところぐらいはあってもよかったかも
同様に氏名も入れさせりゃいいのに…個人情報とかの都合なのかな
予約番号にチェックデジットがないのは本当にクソだけどシステムのせいじゃないしなぁ
Re:そんなもんでしょ (スコア:2)
ホントかどうか知らないが、
こういう疑惑が出るのもやむなしかね
分かんないんだもんね作りが
もうなんか設計書とテスト用の番号等一式公開して叩いてもらうってのがええんかも?
きっと死ぬほど叩いてくれるだろう
公開前にやって公開時にDBリセットすれば良いか
DBの違うテストサイト公開してもいいね
クエリ書き換えとか本番環境では流石に躊躇われる検査までできそうだ
わざと穴残してますとか仕込むとやる気上がるかも?やりすぎ?
愉快犯だけが致命的な穴見つけたりすると問題だけど、
ペネトレーションの会社とかが広告でやってくれるかもしれんし…
どうです今からでも防衛省さん
浩光先生「IPAの回答は誤りです」 (スコア:3, 参考になる)
リアル私がこの理論の提唱者です案件強過ぎる。
Re:浩光先生「IPAの回答は誤りです」 (スコア:1)
ってスラドの記事はITmediaその2のリンクが間違ってますね。
浩光先生おこ案件はこっちの記事ね。
脆弱性を突く手口、IPA「見つけたらまず開発者やIPA窓口に報告して」 ワクチン予約システムの欠陥巡り [itmedia.co.jp]
Re:浩光先生「IPAの回答は誤りです」 (スコア:1)
>IPA「脆弱性や手口を不特定多数に公開するのは望ましくない」
そもそも今回のは「仕様」であって脆弱性ではなく、IPAに報告したところで何もしてくれないのでは...
ネットには「SQLインジェクションの脆弱性も」との噂があったのでITmediaの記者がそれを前提にIPAから得た回答を記事にしたんでしょうかね
ただしAERA・毎日・日経BPの記事はSQLインジェクションは記事にもしておらず、あくまで架空データ入力可能な「仕様」を報じているようです
Re:浩光先生「IPAの回答は誤りです」 (スコア:1)
// IPAが何もしないのはその通り。アレに何かさせちゃダメだ
Re:浩光先生「IPAの回答は誤りです」 (スコア:1)
防衛省内部からのタレコミ (スコア:3)
防衛省内部からのタレコミがあって、それを記事にするには検証しないといけない
なら検証するでしょうよ。そのうえで防衛省と運営してるマーソ社にも問い合わせして
記事にして公表した。何の問題もないでしょ。
むしろ新聞社を叩くほうがどうかしてる
Re:防衛省内部からのタレコミ (スコア:3, 興味深い)
しかも日経も記事にしてるのに、ターゲットは朝日、毎日のみ。 分かりやすい犬笛ですよね。
Re:防衛省内部からのタレコミ (スコア:1)
「脆弱性を見つけたら、まずは報告」
「報告後、修正のため一定期間をおいてから公表」
ということを新聞社がしていないので批判している人がいるけど、全く見当違いの指摘ですよね。
まず、防衛省内部からの告発から始まっていることから、新聞社が見つけたわけでも先に見つけたわけでもない。
防衛省が問題があることを知っていながら運用開始したということは、防衛省に問題があることを報告しても被害が出る前に対応してくれる見込みはない。
脆弱性の悪用が非常に簡単なので、今にも攻撃されそうだから緊急性が極めて高い。
だから防衛大臣が怒っていることは逆ギレ以外の何物でもないです。
単にメンツが潰されたのを怒ってるだけですね。
経緯が一緒 (スコア:2, 参考になる)
問題となった戦局解説記事は、毎日新聞社政経部および黒潮会(海軍省記者クラブ)主任記者である新名丈夫が執筆した記事(見出し作成は山本光春)で、「勝利か滅亡か 戦局は茲まで来た」という大見出しの下でまず「眦決して見よ 敵の鋏状侵寇」として南方における防衛線の窮状を解説し続いて「竹槍では間に合はぬ 飛行機だ、海洋航空機だ」として海軍航空力を増強すべきだと説いている(#『毎日新聞』(1944年2月23日付)の記事参照)。これは海軍航空力増強を渇望する海軍当局からは大いに歓迎されたが、時の東條英機陸相兼首相は怒り、毎日新聞は松村秀逸大本営報道部長から掲載紙の発禁[5]および編集責任者と筆者の処分を命じられた。毎日新聞社は編集責任者は処分したものの、筆者である新名の処分は行わなかったところ、その後ほどなく新名記者が37歳にして召集された[6][7]。
https://ja.wikipedia.org/wiki/%E7%AB%B9%E6%A7%8D%E4%BA%8B%E4%BB%B6 [wikipedia.org]
結局その時は負けて酷い目にあったのに
70年前と何も変わってないし反省も無いんだな
他の人が予約できなかった事実はあるの? (スコア:2)
例えば、枠数100に対して、記者が10も20も試して長時間そのままとか、あるいは偶然に最後の1枠を取ったりして、満予約状態になっていたら、確かに他の人は予約できない。
一方で、記者の予約実験中も空きがまだ残っている状態であれば、他の人が予約できないことにはならないんじゃないでしょうか。
( ´,_ゝ`) (スコア:1)
日常茶飯事な程度のイタズラに防衛大臣が抗議というのは、ださいというかなんというか。
弱い犬ほどほく吠えると申しますが、
抗議コーギーってよく吠えるようですね☆彡接種希望日申告システム (スコア:1)
接種予約システムではなく、接種希望日申告システムだよね。中身。
ダミー値で予約入れても、情報流した自治体側でリストと突合したときに、合致しなかったら実際は却下されるんじゃないの。
そうであれば、中身全くそのままで、タイトルを摂取希望日申告システムにしていれば、なにももめなかったのではないだろうか。
Re:接種希望日申告システム (スコア:2)
全部あってる人がいれば確定
全部あってる人がいなくてちょっと間違ってる人が一人ならその人
同じぐらい間違ってる複数いたら皆さんお引取り、かな?
接種番号、市町村コード、生年月日何れかあってるのを引っ掛けるプログラムは難しくないでしょう
似ているまで含めてもプログラムは行けるだろうだけど揉めるしパスかな…そこは検討の余地あるな
一応引っ掛けて一人ならぬるくても良いかもしれない
追い返したら追い返したでワクチン余っちゃうからなぁ
Re:接種希望日申告システム (スコア:2)
そういやキャンセルも履歴に残る模様
悪意ある人がズバリ当ててキャンセルしてきても
当日本人が現れてキャセルしてないと言えば
キャンセル待ちに回すといいかもね
地域コード6桁に接種番号10桁、生年月日まで当ててくるとなると親しい人物か大規模攻撃ぐらいしかなさそうだけど
むしろあれか、地域コード間違えたとかで前のをキャンセルせず放ったらかしにしてもう一回登録しちゃう善意の人の誤登録が問題か?
しかしこれ、地域コードで割り振って自治体に情報を回し、
番号生年月日が全然合わない誤登録予約はシステムでキャンセルとかするのかなぁ
そうだとすると近いうちに少し開くのかも知れないな
登録した人はどっかのタイミングでリコンファームしたほうが良さそうだね
抗議だけ? (スコア:0, すばらしい洞察)
刑事事件じゃないの?
Re:抗議だけ? (スコア:1)
争える違法性が無かったんだろうなぁ…
Re:抗議だけ? (スコア:4, おもしろおかしい)
まぁ、確かに、一番の悪者であるロクなテストをしてないとしか思えないシステムを作ったIT屋ではなくて、欠陥の存在を報じた報道機関に吊るし上げようとするなど、システムの製造元が防衛大臣に何らかの脅迫を行なっている可能性が考えられるけど、まぁ、今んとこ状況証拠しか無いから、刑事告訴は無理だろうしな。
Re:抗議だけ? (スコア:1)
犯罪行為の証明だってコンピュータに関する知識がないと判断できねぇし、
そうなると、とりあえず犯罪行為だとして、犯罪意思やその同時性の話になるわけで、
ものすごいふわっとしたよくらからない裁判にしかならない。
ガチで専門家養成するべきだと思うし、
デジタル庁作ったなら、ついでにそこら辺の人員育成やって欲しい。
抗議すべき対象はシステム開発者 (スコア:0)
脆弱性をつく手口を公表してしまうのは確かによくない。
でも今回のシステムは脆弱性だなんてレベルではない。
予約は自由にできるし、他人の予約はキャンセルできるし、他人の予約を比較的簡単に見ることもできる。
高校生でももっとまともに作れるだろうというシステム。
抗議すべきはこんなものを開発して納入した業者とこんなものを受け取った国側の担当者だよ。
Re:抗議すべき対象はシステム開発者 (スコア:2)
と言うか、IT関係の知識が有るヤツほど「『そんな事が可能らしい』と言ってるヤツが居る」と云う情報を得た時点で、逆に99.99……%はじかれると確信してるからこそ逆に大々々々々々安心した状態で試してしまい、そして、ホンマに可能だと判った次の瞬間、脳内に「?」と「!」が山程出現すると思う。
Re:抗議すべき対象はシステム開発者 (スコア:2)
普通「ワクチン担当大臣」って肩書持ってたら今頃は真っ青になって関係各所と次善策を練ってるとこだと思うんだけど
「マスゴミ」を悪役にすればネットでは人気が出ることがわかってる河野太郎は今日も元気に犬笛を吹いているのであった
https://www.sankei.com/politics/news/210518/plt2105180008-n1.html [sankei.com]
Re:抗議すべき対象はシステム開発者 (スコア:2)
担当大臣しか肩書が無い閣僚ってのは、要は「何か有った時に詰め腹を切らされる事になる人」なので、そう云う立場に置かれた場合は、「詰め腹を切らされる確率をなるべく減らす」ような言動の内、最もコスパが良いモノを選択をするのが「合理的」ではないかと愚考します。
Re:抗議すべき対象はシステム開発者 (スコア:1)
「抗議されるべきは開発・検収側『も』である」ならその通りだが、「朝日・毎日が抗議されるべきではない」というのは全くの的外れ。
Re:抗議すべき対象はシステム開発者 (スコア:2, すばらしい洞察)
5chで既に脆弱性の話はばらされまくっていたこと。
他のマスコミも同様に報じているのに朝日・毎日というリベラル系の新聞社を選んで批判していること。
これらから、防衛大臣(元A級戦犯・岸信介の孫)がやっているのは自分たちに都合の悪い報道をする新聞社に対して萎縮を図る意味がある。
よって「朝日・毎日を批判すべきではない」とハッキリ言える。
これは朝日、毎日のみならず、産経や読売であっても同じ。
国民の知る権利は保証されるべき。
Re:抗議すべき対象はシステム開発者 (スコア:1)
// 岡崎の件を鑑みよ
Re: (スコア:0, すばらしい洞察)
それとこれとは別問題ですよ
なぜかマスコミの問題行動は「報道」の名のもとに正当化したがる連中がいるんですよねえ
政府たたきできればあとはどうでもいいのかね
Re:抗議すべき対象はシステム開発者 (スコア:2, すばらしい洞察)
そもそも SNS で話題になっているからといって、
バズらせて問題を大きくしようという手段はよろしくないので IPA に報告してくれと言っているのに、
こういうメディアは「自らの正義の下、何をやっても許される」ような考えで扇動しているだけ。
「あ、ヤバいね、こういうことできちゃうじゃん」って気づいたら
まず関係者や IPA に報告するって、個人ですら普通に考えることじゃん?
真っ先に記事にして垂れ流すのって責任あるメディアがやることか?
Re:抗議すべき対象はシステム開発者 (スコア:1)
ゼロディの脆弱性と同じ扱いで良いと思うね
たとえば脱法ドラッグの調合とか、伏せろやって線引きはマスコミの本骨頂でしょうに
じゃなきゃSNSやまとめサイトと何が違うのか、と
Re:抗議すべき対象はシステム開発者 (スコア:1)
> 国民は知らないまま悪意の攻撃者にやられ放題。
それ国民に知らせる必要あるんですかね。
知らされたところで悪意の攻撃者にやられ放題なのは変わりないですけど。
むしろ攻撃を増長することになりますよね。
脆弱性情報の公表が社会的に許されているのは、利用者が脆弱性の影響度を理解して修正パッチを当てたりワークアラウンドを実施するために必要だからです。
利用者が入力間違いに気付けるようにだとか、現場が入力間違いを想定できるようにだとか、そういうセキュリティに関係ないのは理由として認められません。
開発者による脆弱性の修正を促すためとして許される場合もありますが、それは「直すとは思えないし実際に直すのは不可能」という前提と矛盾しますよね。
Re: (スコア:0)
それぞれの問題として考えるべきではありますが,
大臣が「全国民の個人情報を防衛省が把握する事は適切でない」と言っちゃったのは重要な点だと思う。
Re: (スコア:0, フレームのもと)
なぜか政権のやることは全部正しくて、それに反対するとみーんな反日なんですよね。
政権マンセーできればあとはどうでもいいんだろうね。
こんなの予約できたことが驚きの事件だよ。
デタラメ情報で登録できるのが本当かと入れてみたら実際に予約されてしまった。
こんなゴミを作ったり使ったりしているところが悪い。
Re: (スコア:0)
玄関開けっぱなしの家だからって入ってイタズラしたら立派な犯罪。
Re:抗議すべき対象はシステム開発者 (スコア:1)
システム使って入力してる時点で意図があるのでそのレベルでは済まさせられない
Re:抗議すべき対象はシステム開発者 (スコア:2)
一応誕生日がパスワード相当なんでしょう
個人に送られる予約券番号を知るのは難しいし、
適当に予約券番号を入れてそれがじつざいし、
当てずっぽうに誕生日を入れて当たる確率は低いし
逮捕でしょ (スコア:0)
図書館のシステムに負荷をかけないようにスクリプトでアクセスしても逮捕されるんだから
Re:逮捕でしょ (スコア:1)
Re:講義なんてしてる暇ないだろ (スコア:1)
// 講義だけに
Re:てかなんで性善説なん? (スコア:1)
主に老人が利用するからじゃないですかねえ。
性悪説ベースでバリバリにチェック機能を入れると、
「ちゃんと入力したのに弾かれる(間違ってる)、無理だ諦めよう」ってなっちゃうことがあるからとか妄想しちゃいました。
一人以外は全員敗者
それでもあきらめるより熱くなれ
Re:セキュリティ案件を即座に公表したのが間違い (スコア:1)
朝日、毎日、日経のシステムに脆弱性がある、具体的にはこうするとこうなるって産経新聞がスクープしたら絶対に抗議すると思うし、立憲民主党のシステムに脆弱性があると報道されたら枝野は「感謝する」というのだろうか?
仮に新聞社が自民党のシステムの脆弱性を報道したのなら「それはやりすぎ」って言われるでしょうね。
でも国が国民の税金でやっているシステムなのですから、政党のそれとは同一視してはいけないと思います。
っていうか、あなたは「国」と「自民党」の区別がついていないのでしょうか?
(まあ、自民党の会合を総理官邸でやろうとしてた自民党議員がいたくらいですから庶民にはその区別は難しいかもしれないですが)
Re:セキュリティ案件を即座に公表したのが間違い (スコア:1)
ありえないよ。政権取ったらそれが与党
// 現野党による政権という意味かしら