パスワードを忘れた? アカウント作成

新型コロナウイルス接触確認アプリ「COCOA」試行運用開始」記事へのコメント

  • 陽性者として登録するには「新型コロナウイルス感染症者等情報把握・管理支援システム」(HER-SYS)から発行された8桁の処理番号(個別のもので人によって異なる)の入力が必要です。
    入力フォームに行けば分かりますが、この8桁の処理番号というのは、数字のみなのです。
    そして、アプリ自体は匿名性が高い設計なので、アプリの内部IDはいくらでも変更できてしまう(再インストールでも変わる)。

    ってことは、ブルートフォースアタックに非常に弱いし、この設計のセンスの無さからして、ひょっとして処理番号は連番?(まさかね……)

    わざわざ処理番号を個別に発行するという面倒な仕組みにしたのならば、最低限数字16桁にして欲しかったです。数字のみである程度の安全性を確保するには、オンライン攻撃を防ぐにも最低でも16桁の乱数が必要なので。

    • by Anonymous Coward

      ブルートフォースアタックなんてしたら普通に業務妨害罪で捕まるのでは?
      アプリが個人特定できないと言っても、大量のパケットを送りつけてくる端末のIPアドレスから個人特定は可能だし

      身元が特定されないように踏み台使ってDDoSした場合でも
      システムダウンに追い込むことは出来たとしても、虚偽登録したIDは捨てられるだろうよ。

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

処理中...