パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

大規模接種センターの予約システム、予約番号も地域も関係なく誰でも予約が可能な欠陥」記事へのコメント

  • 「東京 ワクチン大規模接種 架空番号で予約可能な状態 改修困難」
    運用でカバー!
    https://www3.nhk.or.jp/news/html/20210517/k10013036311000.html [nhk.or.jp]
    からの

    「対応可能な範囲で改修を検討」

    そして

    岸防衛大臣「朝日・毎日新聞記者は虚偽入力を行っておりきわめて悪質」
    https://twitter.com/ [twitter.com]

    • by Anonymous Coward on 2021年05月18日 12時19分 (#4033348)

      最初に防衛省に問い合わせて許可もらってから記事にするでしょ
      こんな脆弱性がありますって断りもなしに記事にするのってどうなのよ

      親コメント
      • by Anonymous Coward on 2021年05月18日 13時40分 (#4033488)

        許可さえ出さなければ永久に脆弱性を放置できてしまうことになってしまいますので、許可が必要というルールはありえないです。
        ゼロデイ攻撃を抑止するという観点から、通常の脆弱性報告手順だと直接なりIPAを経由するなりして報告し、修正されるか一定期間放置されたら公表、というのが一応業界的には正しい手順となっています。
        今回の場合は防衛省側には記事の前に話が行っていたわけですから、公表まで待ってやる時間が適切だったかどうかというところが問題になります。
        今回の件だと申込開始直後からチェックガバガバとして5chで祭りになっていた、つまり既にゼロデイ攻撃が始まっていたわけですから、即時公開やむなしという判断も絶対なしとは言えません。
        とはいえ一般論を言えば24時間くらいは待ってやれよとは思います。

        そもそも論としては、(我々の認識と違って)この問題はゼロデイ公表が悪なのだという話になっていません。そこを叩くのなら分かるんですけどね。
        政府の怒りは「朝日が不具合を発見した」「検証した」ことに向かっており、これはセキュリティ屋さん的な観点で言えば「おっとサイバーノーガード戦法っすか?」って話にはなってしまいます。

        問題の発生ではなく問題の発覚を問題視するのが実に日本的だなぁと。

        親コメント
        • by Anonymous Coward

          > 今回の件だと申込開始直後からチェックガバガバとして5chで祭りになっていた

          ほんとに? 少なくともニュー速(嫌儲)で祭りになったのはAERAdotの記事をソースにしたスレが立ってからの話だと思いますが……
          https://leia.5ch.net/test/read.cgi/poverty/1621239469/ [5ch.net]

        • by Anonymous Coward

          そうですよね

          このスレッドも脊髄反射で政府批判のメディアを叩くウヨ脳の方々が湧いていますが
          ITシステムセキュリティの観点から見れば信じ難い愚行です
          もしこの業界で仕事しているのならそこは履き違えないようにしないとご自身の職務品質にも影響します

          そしてそもそも今回のって脆弱性というレベルですらない仕様の問題かもしれませんね

        • by Anonymous Coward

          一方のマスコミ、野党側も、問題があるんだから公表して何が悪いという論になってて、
          今後、対策の必要な本当に深刻な脆弱性が見つかっても、対策する間もなく公表されちゃうんでしょうね。

          • by Anonymous Coward

            まあ現実的にはマスコミや野党なんていう『一般人』が脆弱性を知っている時点でほぼ確実にゼロデイ脆弱性なので即時公開已むなしなんだけどな。
            対策する間もクソも、そもそも今回のケースなんて公表されなきゃ対策しなかっただろうし。

      • by Anonymous Coward on 2021年05月18日 13時10分 (#4033435)

        脆弱性じゃなく仕様ですって返ってくるんだから公開されてもなにも困らないじゃん。

        親コメント
      • by Anonymous Coward on 2021年05月18日 13時40分 (#4033486)

        防衛省関係者が内部告発したのをマスコミが記事にしてるんやで。。。
        記事にしてもいいですかって聞かれたらダメっていうだろうし
        内部告発によると修正するつもりもなかったそうだから不具合報告しても意味ないだろうね。

        国民の大多数が利用してる最中に問題が起きるより早期に報道してもらって逆に良かったと思うよ。

        親コメント
        • by Anonymous Coward

          本件に関しては公開しても混乱を助長するだけで何ら益が無い。
          竹中関連の企業に税金かけてこんなゴミを作りましたと言いたいのは理解できるが、
          それを今やる必要性は無い。

          • by Anonymous Coward

            公開するなら話題が風化してからにしないとね

        • by Anonymous Coward

          「報道すること」に理はあるとは思う
          「具体的にダメなところを列挙する」のは、便乗犯みたいなのが湧く(この場合愉快犯というより自分の利益のためにカラ予約をしたり他人に”権利”を売ろうとするタイプ)のがマズい
          「あそこの家、防犯対策甘いッスよ」はいいけど「あそこの家の鍵、どんな鍵でもドアあきますよ」はマズい、みたいな

      • by Anonymous Coward on 2021年05月18日 14時20分 (#4033548)

        許可が出なかったら公益のために公開するのが当たり前

        親コメント
      • 【独自】「誰でも何度でも予約可能」ワクチン大規模接種東京センターの予約システムに重大欠陥 [asahi.com]」

        防衛省にさっそく取材を申し込むと、以下の回答がきた。
        「現在、担当部署に確認している」

        上記の記事を読むと、
          防衛省からのリーク情報で欠陥をみつけて、実際に試してみた
            ↓
          実際に予約が取れてしまった
            ↓
          防衛省の公式窓口に問い合わせた
            ↓
          公式窓口は知らなかった
        という感じでしょ。

        ちなみに防衛省の元トップは、今回の官邸の「思いつき」に

      • by Anonymous Coward

        > 最初に防衛省に問い合わせて許可もらってから記事にするでしょ
        > こんな脆弱性がありますって断りもなしに記事にするのってどうなのよ

        防衛省に問い合わせしていないと何故わかったの?
        断りもなく記事にしたって何故分かったの?

        防衛省に問い合わせて、事実確認をしたうえですぐ改修するんですかって聞いたら「直せないからそのまま」って答えたもんだから、これは報じるしかないなって記事にした可能性もあるよね。
        政府に都合が悪くて「記事にしちゃだめ」って言われたら記事にできないの?

        そんなの北朝鮮じゃん。

にわかな奴ほど語りたがる -- あるハッカー

処理中...