パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

大規模接種センターの予約システム、予約番号も地域も関係なく誰でも予約が可能な欠陥」記事へのコメント

  • by simon (1336) on 2021年05月18日 12時09分 (#4033329)

    「東京 ワクチン大規模接種 架空番号で予約可能な状態 改修困難」
    運用でカバー!
    https://www3.nhk.or.jp/news/html/20210517/k10013036311000.html [nhk.or.jp]
    からの

    「対応可能な範囲で改修を検討」

    そして

    岸防衛大臣「朝日・毎日新聞記者は虚偽入力を行っておりきわめて悪質」
    https://twitter.com/KishiNobuo/status/1394440062125805572 [twitter.com]

    『マスゴミ』を悪役にして怒りを躱そうとしてますけど逆ギレもいいとこでしょこんなの

    • by Anonymous Coward on 2021年05月18日 12時19分 (#4033348)

      最初に防衛省に問い合わせて許可もらってから記事にするでしょ
      こんな脆弱性がありますって断りもなしに記事にするのってどうなのよ

      親コメント
      • by Anonymous Coward on 2021年05月18日 13時40分 (#4033488)

        許可さえ出さなければ永久に脆弱性を放置できてしまうことになってしまいますので、許可が必要というルールはありえないです。
        ゼロデイ攻撃を抑止するという観点から、通常の脆弱性報告手順だと直接なりIPAを経由するなりして報告し、修正されるか一定期間放置されたら公表、というのが一応業界的には正しい手順となっています。
        今回の場合は防衛省側には記事の前に話が行っていたわけですから、公表まで待ってやる時間が適切だったかどうかというところが問題になります。
        今回の件だと申込開始直後からチェックガバガバとして5chで祭りになっていた、つまり既にゼロデイ攻撃が始まっていたわけですから、即時公開やむなしという判断も絶対なしとは言えません。
        とはいえ一般論を言えば24時間くらいは待ってやれよとは思います。

        そもそも論としては、(我々の認識と違って)この問題はゼロデイ公表が悪なのだという話になっていません。そこを叩くのなら分かるんですけどね。
        政府の怒りは「朝日が不具合を発見した」「検証した」ことに向かっており、これはセキュリティ屋さん的な観点で言えば「おっとサイバーノーガード戦法っすか?」って話にはなってしまいます。

        問題の発生ではなく問題の発覚を問題視するのが実に日本的だなぁと。

        親コメント
      • by Anonymous Coward on 2021年05月18日 13時10分 (#4033435)

        脆弱性じゃなく仕様ですって返ってくるんだから公開されてもなにも困らないじゃん。

        親コメント
      • by Anonymous Coward on 2021年05月18日 13時40分 (#4033486)

        防衛省関係者が内部告発したのをマスコミが記事にしてるんやで。。。
        記事にしてもいいですかって聞かれたらダメっていうだろうし
        内部告発によると修正するつもりもなかったそうだから不具合報告しても意味ないだろうね。

        国民の大多数が利用してる最中に問題が起きるより早期に報道してもらって逆に良かったと思うよ。

        親コメント
        • by Anonymous Coward

          本件に関しては公開しても混乱を助長するだけで何ら益が無い。
          竹中関連の企業に税金かけてこんなゴミを作りましたと言いたいのは理解できるが、
          それを今やる必要性は無い。

      • by Anonymous Coward on 2021年05月18日 14時20分 (#4033548)

        許可が出なかったら公益のために公開するのが当たり前

        親コメント
      • 【独自】「誰でも何度でも予約可能」ワクチン大規模接種東京センターの予約システムに重大欠陥 [asahi.com]」

        防衛省にさっそく取材を申し込むと、以下の回答がきた。
        「現在、担当部署に確認している」

        上記の記事を読むと、
          防衛省からのリーク情報で欠陥をみつけて、実際に試してみた
            ↓
          実際に予約が取れてしまった
            ↓
          防衛省の公式窓口に問い合わせた
            ↓
          公式窓口は知らなかった
        という感じでしょ。

        ちなみに防衛省の元トップは、今回の官邸の「思いつき」に

      • by Anonymous Coward

        > 最初に防衛省に問い合わせて許可もらってから記事にするでしょ
        > こんな脆弱性がありますって断りもなしに記事にするのってどうなのよ

        防衛省に問い合わせしていないと何故わかったの?
        断りもなく記事にしたって何故分かったの?

        防衛省に問い合わせて、事実確認をしたうえですぐ改修するんですかって聞いたら「直せないからそのまま」って答えたもんだから、これは報じるしかないなって記事にした可能性もあるよね。
        政府に都合が悪くて「記事にしちゃだめ」って言われたら記事にできないの?

        そんなの北朝鮮じゃん。

    • 朝日・毎日は悪質だろう
      岸防衛大臣の発言は正しい
      親コメント
      • by Anonymous Coward on 2021年05月18日 13時36分 (#4033476)

        防衛省の内部告発をもとに検証してそのあと元に戻してる。
        関係者内で話が広がってるので早晩攻撃に利用されることが予測できるから
        かなり公共性の高い報道では?

        親コメント
      • ただの不正アクセス (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2021年05月18日 16時16分 (#4033651)

        共同・朝日記者、不正アクセス容疑で書類送検へ [nikkei.com]

        過去にも朝日新聞はやらかしているので、今回で2回目?
        取材と称して犯罪をするのはダメだって朝日新聞は理解していないようだ。
        今度は書類送検じゃなくて、ちゃんと立件して処分した方が良いね。
        朝日には社内コンプライアンスの見直しと再発防止の為の社内教育を徹底してやって欲しいね。
        とくに他人の物を勝手に使わないっていう人として当たり前の事を理解してもらおう。
        それと謝罪記事は隠さずにちゃんと出そうね。

        親コメント
        • by Anonymous Coward on 2021年05月19日 11時25分 (#4034164)

          よく勘違いしている人が多く、そのまま議論がまかり通ってしまっていますが、不正アクセス禁止法に抵触するにはID/パスワードなどの認証を不正に突破している必要があります。
          このシステムはID/パスワードの認証によるアクセス制御昨日はないので不正アクセスにはなりません。

          テストで入力した予約をキャンセルしなかった場合には偽計業務妨害罪になる可能性が高いですが、キャンセルしているので罪には問えないでしょう。

          ついでにいえば犯罪ではないのに犯罪者だと公の場で誹謗中傷している場合は罪になります。
          具体的には刑法230条、または231条にあります。
          よく言う名誉棄損罪、侮辱罪です。

          ご注意ください。

          補足すると、入力した接種券コードを検証してアクセス制御をしていたならば、それを突破できるコードを不正に使用したとして不正アクセスとして検挙できる可能性はありましたが、そんな単純な機能すらこの予約システムは持っていないので不正アクセスとしては到底問うことはできません。
          問題外です。

          親コメント
      • by Anonymous Coward

        日経BPも同じことをやってるようですが

        https://xtech.nikkei.com/atcl/nxt/news/18/10376/ [nikkei.com]

        • by Anonymous Coward on 2021年05月18日 13時53分 (#4033512)

          支持者向けアナウンスとして「朝日と毎日が異常なのだということにしないといけない」からでしょうね。
          ぶっちゃけ実際のサイトがどんなものか各メディアは触って確認してみているでしょうし、本物の老人を適当に人柱にするのでなければとりあえずダミーの数字入れてエラーで引っかかるまで画面遷移を見てみるというのはむしろ当然のように行われているでしょう。

          産経あたりは実際のサイトを触りすらせずにエアプで翼賛記事書いたりするかもしれませんが……

          親コメント
      • by Anonymous Coward

        ネットで話題になっていたネタをマスコミ記者が確認しただけ。

        ニュースにならなかったらCOCOAのように使い物にならない状態で長期間国民が利用することになり、あとで取り返しがつかない問題になるから、朝日・毎日の報道は勇気ある正義だと思うぞ。

        そんなの国民に知られないようにしたって、毒にしかならない。

    • 朝日と毎日は65歳以上の高齢者のコロナワクチン接種機会を奪ったことについて
      責任を取らなければならない
      最低でも紙面での謝罪と社員教育の徹底、今後の対応の明確化は必要だろう
      親コメント
    • by Anonymous Coward

      3000円のパンケーキと上級のための利権構造なら上手に作れます🤪

    • by Anonymous Coward

      オードリー・タン曰く
      使いやすいシステムを早く作ることが重要 [nhk.or.jp]

      これについて「感染が拡大している時はスピード感を持って対策を打つことが重要だったので、新しいアプリは作らず、人々が慣れ親しんだ既存のシステムを活用した」と述べ、パンデミックなどの事態には、高齢者を含めて誰でも使いやすいシステムを早く作ることが重要だという認識を示しました。

      つまり、すなおにぴあにお願い [srad.jp]していれば良かったんだよ。
      # 時系列は無視しています。

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

処理中...