ワクチン予約サイトは「.com」でなく「go.jp」や「lg.jp」で提供されるべき 78
ストーリー by nagazou
確かに 部門より
確かに 部門より
BLOGOSに掲載されている赤木智弘氏の「ワクチン予約サイトの「.com」運用に疑問 行政はドメイン名で信頼性を担保して」という記事が興味深いものとなっている。COVID-19ワクチン接種では、自治体ごとにさまざまな予約サイトが登場しているが、すでに接種予約の偽サイト存在なども出てきていると報じられている。
正規サイトのURLは「shizuokacity-cv.com」であるのに対し、偽サイトは「sizuokacity-cv.com」であるという。静岡の「shi」が「si」との違いしかなく、偽サイトに誘導しやすいURLとなっている。この記事では、報道では静岡市が一方的な被害側の用に報じられているが、正直自治体である静岡市が「.com」ドメインを使用して接種予約サイトを開設したことにも問題がある。この記事では個人では取得できない「go.jp」や「lg.jp」などを使用するべきだったと主張している。
正規サイトのURLは「shizuokacity-cv.com」であるのに対し、偽サイトは「sizuokacity-cv.com」であるという。静岡の「shi」が「si」との違いしかなく、偽サイトに誘導しやすいURLとなっている。この記事では、報道では静岡市が一方的な被害側の用に報じられているが、正直自治体である静岡市が「.com」ドメインを使用して接種予約サイトを開設したことにも問題がある。この記事では個人では取得できない「go.jp」や「lg.jp」などを使用するべきだったと主張している。
「go.jp」や「lg.jp」を使ってはいけないケースもある (スコア:4, 興味深い)
3年前の議論なので忘れてるかもしれないけど、責任を持つ運営主体が誰なのかが問題。
静岡市新型コロナワクチン接種予約支援サイト [shizuokacity-cv.com]の運営者は「静岡市新型コロナワクチン接種支援事務局」とかなり微妙な書き方。
外注には違いなくとも、国や市が民間事業者と提携あるいは利用しているだけの場合「go.jp」や「lg.jp」は使えない(使ってはいけない)。
ちなみに"shizuokacity-cv.com"は「予約」サイトではなく「予約支援」サイトであることにも注意が必要。静岡市ワクチン予約サイトの本丸は
の2つ。前者はクレジットに"Copyright © MRSO Inc. ALL RIGHTS RESERVED."とあり、プライバシーポリシー [www.mrso.jp]も「マーソ株式会社」が主語になっている。後者は運営者の表記がなく、プライバシーポリシーも主語がない。"smp.ne.jp"というドメイン名から株式会社パイプドビッツのスパイラル・メッセージングプレースを利用していると思われるものの、これ大丈夫なのかという感じがする。
Re: (スコア:0)
公的サービスの民間委託用の属性ドメインが必要ですね。
それで、公的サービスは全部go.jpかlg.jpか委託用属性ドメインで運用しないといけないように法規制した方が良い。7
Re: (スコア:0)
最後の7が何を示しているのかはわかりませんが、
確かに公的サービスの委託用ドメインがあっても良いのかもしれませんね。
# 地元で行われた国際的なスポーツ大会も
# 5年経たずにオンラインカジノサイトになってました。
河野 (スコア:2)
河野氏ならこの辺の事情も理解できるんじゃなかろうか。
IT担当じゃないだろうけどせめてワクチン関連だけでも。
税金の無駄 (スコア:1)
ドメイン取るのに税金使ってるってわかってるんだろうか。完全に無駄金だよね。
正直.lg.jpですら無駄で、.lg.go.jpじゃダメだったのって思ってる。
Re: (スコア:0)
ドメイン取るのに税金使ってるってわかってるんだろうか。完全に無駄金だよね。
無駄どころか数年で使われなくなって
乗っ取られるのがほぼ確定なんだから
ドメイン増やさずに本体サイトのディレクトリ掘れ
が最適解と思われ
Re: (スコア:0)
まだ、広報担当課の職員だった頃、IPアドレス管理の契約してドメインを取得しました。独自ドメインだったので、「市町村別・市町村名・都府県名・日本」表記でした。(もちろん英語でだけど、city.ootemachi.tokyou.japan、みたいな感じ)メールとかホームページとかメール書庫はみんなその下にくっつけました。数十年前の今の時期のことです。ほかの部署から移動してきて、PC購入契約から通信回線契約ドメイン取得原稿作成コンテンツ公開まで31日間、そりゃあもう大騒ぎでした。(なんたって、出来なかったら降格だって脅されながら、、、)でも、そのドメインまだ使っているようでが、どうなんでしょう。
Re: (スコア:0)
地方自治体は国の下部組織ではないのでダメ。
Re:税金の無駄 (スコア:1)
別に普通の.jpサイトが必ずしも日本国の下部組織ではないのだから、.go.jpのサブドメインが厳密に日本の行政の下部組織である必要はないでしょ。
jprsかどっかが決めつけてるだけじゃないの?
それに地方分権改革は政府が推し進めている制度なんだから、その結果の地方自治体が.go.jpを使ったって問題ないと思うけど。
一般人はドメインを見ない (スコア:0)
しかも、アドレスの頭か最後のどちらに「go.jp」が付いていればOKなのかも判断できない。
だが、それはさておき行政府がサービスサイトを提供するときに一般向けのドメイン名を使うべきではないというのは正しいと思う。
逆じゃね? (スコア:5, すばらしい洞察)
政府や地方自治体のドメインを「.go.jp」に限定して
「公的ドメインは『.go.jp』で終わります。それ以外のサイトはすべて詐欺です」
って告知すればいい。今後はそうしようぜ
Re:逆じゃね? (スコア:1)
誰かさん「『.go.jp』で終わるってどういうことだろう?『example.go.jp-----.example.evil.com』って書いてあるここなら大丈夫だよね?」
AMAZONは (スコア:1)
誰かさん「『.go.jp』で終わるってどういうことだろう?『example.go.jp-----.example.evil.com』って書いてあるここなら大丈夫だよね?」
AMAZONは「で始まる」アドレスなら安心だと言ってますよ
このEメールがAmazonから送信されていることを確認するにはどうすればよいですか?
このEメールのリンクは「https://www.amazon.co.jp」で始まります。以下のリンクをいつでもブラウザに貼り付けて表示できます。
↑これは新しいTABLETを買ったとき、最初にAMAZONにログインしたときに本物のAMAZONから届いたメール。↓はHUNNY POTアドレスに届いたフィッシングメール(の一部)
このEメールがAmazonから送信されていることを確認するにはどうすればよいですか?このEメールのリンクは「https://www.amazon.co.jp」で始まります。以下のリンクをいつでもブラウザに貼り付けて表示できます。
https://amozaon.jp.j96tr8o.cn/ [j96tr8o.cn]
フィッシングメールの方を先に見たので、「始まる」じゃなくて「終わる」だろwwwとわらってたら、本物のAMAZONメールにそう書いてあったという…
まあ、「アドレスの終わりを確認して」と言ったら「htmって書いてあるよ」といった人もいるので、まあ、堅気の人には無理だよね
Re:AMAZONは (スコア:1)
HUNNY POT
ハニーポットのことなら普通はhoneypotと綴るな。
同名の大麻屋さん(合法)があるらしい。
Re:AMAZONは (スコア:1)
Re: (スコア:0)
政府や地方自治体のドメインを「.go.jp」に限定して
「公的ドメインは『.go.jp』で終わります。それ以外のサイトはすべて詐欺です」
って告知すればいい。今後はそうしようぜ
そしてスマホブラウザでは
すぐにアドレスバーが見えなくなるから無意味
となって議論が空転
までがテンプレ
Re: (スコア:0)
.go.jpとかつけとけば引っかかるのでは?
Re:逆じゃね? (スコア:3, 参考になる)
国際化ドメインの文字は正規化されるので、全角英数字は使えませんよ。
国際化ドメイン名とは
https://www.nic.ad.jp/ja/dom/idn.html [nic.ad.jp]
>NAMEPREP (A Stringprep Profile for Internationalized Domain Name)
>具体的な例を挙げると、たとえば日本語の場合は、 アルファベットの大文字・小文字は全て小文字に、全角英数字は半角に、 半角カナは全角カナに統一されます。 また、全角の「.」や句点「。」は半角の「.」に変換されます。
Re:逆じゃね? (スコア:1)
その程度の対策で解決するなら
そもそもオレオレ詐欺とかも何もかも全部解決してるんだよなぁ…
バカは何も見ません。
バカは調べません。
バカは聞きません。
バカは学習しません。
それって典型的な「100%効果がでる対策以外は無意味」っていう悪しき0/1思考だよね
それで多少なりとも詐欺の被害者が減るならそれでいいじゃん。
20%減っただけでも万々歳だよ。それともあんたは詐欺の被害者を減らしたくないの?
自分の賢さを誇示することの方が大切なの?
Re:一般人はドメインを見ない (スコア:2, すばらしい洞察)
その .com ドメインいつまで保持するの?
って話よね
Re:一般人はドメインを見ない (スコア:1)
お金払わないと失効するとか、誰かが取り直すとか、それで成り済ますとか、言われないと予想も疑問をもたないのが行政。
有限個しかないドメインが早いもの勝ちで一生タダで所有権を維持できるなんて、感覚で違うだろうって感じて欲しいわ。
それにどうせエンジニアが言ったところで、決定権ある人にまで情報は上がらないけど。
Re: (スコア:0)
放棄されたら「元は正しかった偽装URL」になっちゃうもんな。
流石にgo.jpが放棄されることは無いだろう。
Re:一般人はドメインを見ない (スコア:5, すばらしい洞察)
go.jpのは放棄されても怪しい業者が再利用できんってだけで十分意味があるな。
Re:一般人はドメインを見ない (スコア:2, すばらしい洞察)
.go.jpや.lg.jpの場合は個々のドメインが放棄されたって丸ごと日本政府の管理だから
仮に名前被りが発生しても絶対に政府自治体サイトにしか繋がらないのがメリット
Re: (スコア:0)
そうだね。www.pref.hyougo.jp とかあるしね。
Re: (スコア:0)
そんなこと言ったら、coronavaccineyoyaku-go.jpみないたのを取れるからgo.jpでもダメになるわ
Re: (スコア:0)
「末尾がgo.jpであるべき」は間違いだね
「末尾が.go.jpであるべき」が正しい
ドットが抜けてる
Re: (スコア:0)
一般人はその差の重要性に気づかない可能性があるから、見えやすいように先頭にバッファー的なサブドメイン足した方が良さそう。
.vaccine.lets.go.jp
とか
Re: (スコア:0)
記述自体が分り辛いよな。
日本人の感覚からは逆だから。
そこで日本政府で専用ブラウザ作って、表記は
>日本.政府.新型コロナ対策.・・・
ってのでどうだろう。
Re: (スコア:0)
令和最新版新型コロナ対策~~県公式国産ワクチン予約サイト~~
一部のlg.jpと都道府県.jpはのサブドメインは個人でも取れるじゃない (スコア:0)
それもやめたほうがいい
Re:一部のlg.jpと都道府県.jpはのサブドメインは個人でも取れるじゃない (スコア:1)
「一部のlg.jp」「は個人でも取れる」って、本当なの?
自治体から委託された個人なら取れんことは無いかも知れんけど。
Re: (スコア:0)
これだね
https://it.srad.jp/story/13/08/15/1156205/ [it.srad.jp]
うちの自治体も.comだけど…… (スコア:0)
「急に決まったので」というケースでgo.jpドメインがさっくりとれるのかとか、どうせ外部に委託しているんでしょとか色々あると思うんだけどなぁ。
うちの自治体は64歳以下の基礎疾患なしワクチン接種予約・接種開始が6/28(今日)からで、さっそく一回目接種してきました。オンライン予約のサイトもアカウント設定して万全の体制と思いきや、結局医療機関での窓口予約で済んで、一回目の接種終了後に二回目の接種日も決定。「ワクチン予約争奪戦報道」は何だったんだろうというぐらい。
※オンライン予約だと時間単位での予約ですが、医療機関は「午前・午後」とざっくりしていてラクすぎる
Re:うちの自治体も.comだけど…… (スコア:2, 興味深い)
Re: (スコア:0)
全くイメージだけどリアルなドメイン名を使っての検証環境を作りにくいとかありそう
手続きとか 業者に任せたらイカンとか
「そりゃたしかにその通りにやればできるけどそんなことやってられん」ってのは公務員は慣れてるかもしれんけど
Web業者が慣れてる気はしない
Re: (スコア:0)
業者に任せるのは結局そうなるんじゃないの?
この部署名義でドメイン取ってねの部分を含めて委託するでしょうし。
Re: (スコア:0)
その「部署名義で業者がドメイン取る」あたりにいろいろ制限があって
「そりゃたしかにその通りにやればできるけどそんなことやってられん」になってんじゃないかなー、と
まぁ推測ですよ推測
Re: (スコア:0)
基本サブドメイン運用にして管理系部署で簡単に登録できるようにしたらいいのにと思ってしまう
Re:うちの自治体も.comだけど…… (スコア:1)
実際に開発するのはF社あたりの三次下請けなんだけど、「go.jp」の申請書類を役所に書いてもらうのに、
二次受け、一次受けと、バケツリレーするのが大変なんでしょう。
本来は役所自身が書くべき書類を、下請けに投げているのが問題。
Re: (スコア:0)
COCOAと一緒でしょ 全て民営化外注化したから実務を請負ってる孫請けは
常に会話を握り潰して保身を図る営業経由でしかコンタクト出来なくなった
結果、サイト構築では金だけ貰って自前で実装するしかなくなり
行政の内規は外部では守ることはおろか知悉すらできず骨抜きになった
アプリ開発では下請け二次受けに全て取られて予算は消費税分程度しか使われず
技能のない末端非正規が作った仮モックアップが成果物として納品されるようになった
管理系部署が構築に関わってりゃ簡単に登録できるだろうね
ドメインなんか何でもいい (スコア:0)
どこのドメインかなんて利用者が意識する必要も間違いが発生する余地もない。
ドメイン直打ちとか変な知識を吹き込まれない限り偽サイトに誘導される危険はないので
むしろ半端知識でおかしなことするリテラシー低い人は早めに痛い目にあった方がマシ。
Re: (スコア:0)
今の政府のことだから一年で契約切ってエロサイト業者に取られて
三年後に一般国民がスマホをかざしたら接種券から猥褻画像がバーンと出てくる
なんて想像に難くないからな
Re: (スコア:0)
DX庁ならなんとかしてくれるんじゃないかな
Re:ドメインなんか何でもいい (スコア:1)
Re: (スコア:0)
例のnoteの煙に巻くようなアカウンタビリティ()を見てるとねぇ
期間限定イベント系ドメイン (スコア:0)
ほぼ例外なくドメイン放棄後に広告サイトや詐欺サイトに乗っ取られることになってるのに、
なんで未だにこういう「使い捨てのドメイン」を行政のイベントでも作るのかなー?
別にgo.jpとかじゃなくてもいいので、受託する業者(co.jp)のサブドメインにするとか、
少しは考えろと思うのだけど。
Re:期間限定イベント系ドメイン (スコア:3, おもしろおかしい)
そんな知恵があるならデジタル庁なんて設立されなかったのでは?
Re:期間限定イベント系ドメイン (スコア:1)
go.jpドメインとlg.jpドメインしか見えないブラウザつかったほうがいい (スコア:0)
chromeやfirefoxベースのブラウザで、
go.jpドメインとlg.jpしか見えない、行政サービス専用ブラウザを作って、
windows/mac/android/iphoneで配ればいい
行政サービス専用ブラウザ以外からのアクセスは拒否するとなおよい