一昨日、
朝日と毎日新聞が
システム脆弱性の詳細を
関係者に無断でニュース記事として発表する。
メディア史上最悪に近い
大失態を演じた
政府の新型コロナウィルスワクチン予約システム
について。
開発者サイドから
至極真っ当なコメントが出されていたので。
そちらに
ブックマークを付けてみました。
あと、
政府が
今回の件に関する対応について
続報が出ているので。
そちらにも
ブックマークを付けました。
・
・
・
まず、
毎日新聞と朝日新聞が、
今回の記事掲載について
『公益性がある』とのコメントを出していますけど。
有りません(怒
ここが
そもそも大いなる勘違いというか。
おそらく
確信犯的に、
責任回避するために吹聴しているのでしょう。
脆弱性の事実を公表することと、
それから
不正操作の手法を公表する事は
まったく
次元の異なる話です。
今回
朝日新聞と毎日新聞が行ったのは、
後者の
『不正操作の実演』であって。
これを公表したところで、
実際
正規に使う人にとっては
全くもって価値のない情報であり。
不正を狙う人が
真似をする事例が増えるだけで。
そこには
『公益性』は欠片もありません。
また
脆弱性の事実公表については、
公表したところで、
今回の場合、
それを知った利用者が
ワクチン予約システムについて
正規に使用する分には問題無く使用できます。
正規使用する分には
今回の脆弱性を知ったところで、
全く無価値なんです。
益を受けるのは、
悪意を持った人が悪用する場合のみで。
悪意を持って利用するときに価値が出るだけの情報です。
そういう情報ですから、
これを公表する事に、
『公益性』は一切見当たりません。
・
・
・
これが、
正規使用して利用者が不利益を受ける場合に、
例えば、
私は
以前に
預金口座から不正にお金が引き出される
そういう脆弱性が発見された場合を
たとえとして挙げましたけど。
この場合、
そのまま放置していたら正規利用者が不利益を受けるのは確実で、
しかも、
情報を知ることが出来れば、
即座に預金を引き下ろすなど、
回避するための行動を選択できる、
という観点で
この場合は、
脆弱性の事実だけを公表することに
一定の『公益性』が認められます。
・
・
・
しかし
今回の場合、
正規で使用している分には全く問題が無く、
放置していたところで
悪意ある人から直接攻撃を受けるわけではありません。
ワクチンが希望の日時に回ってこなくなる、
という間接的な被害を受ける可能性はありますが。
その可能性はかなり低めです。
極小と言ってもいいでしょう。
悪用した場合にのみ問題が発生し、
悪用した人が極大の利益を享受できるだけの情報であって。
しかも
その悪用方法を公表した、
という状況です。
そして、
正規利用者はこの情報を得たところで、
なんら対処する方法が存在しません。
そういう情報を公表する行為のどこに
『公益性』が存在しているのか。
これ、
法務部とかにきちんと確認したのでしょうか。
確認したら、
『一発アウト』って言われる案件ですよw
罪状的には、
被害が拡大した場合に、
悪質な業務妨害、を問われるケースですね。
脆弱性を突く手口、IPA「見つけたらまず開発者やIPA窓口に報告して」 ワクチン予約システムの欠陥巡り - ITmedia NEWS
これがまともな対応だよね(当然
2021/05/19 12:14
脆弱性を突く手口、IPA「見つけたらまず開発者やIPA窓口に報告して」 ワクチン予約システムの欠陥巡り
大規模会場を使った新型コロナワクチンの接種予約システムの欠陥について、IPA(情報処理推進機構)は5月18日、取材に対し「脆弱性や手口を不特定多数に公開するのは望ましくない」とコメントした。脆弱性を発見した際は「まず開発者やIPAの窓口に報告してほしい」という。
【修正履歴:2021年5月18日午後9時25分 IPAがITmedia NEWSの取材に回答したものであるため、表現を一部変更しました】
【修正履歴:2021年5月18日午後11時5分 記事初出時、架空予約できることのみが「脆弱性」としていましたが、同手法がセキュリティ上の欠陥を突いているかは議論の余地があります。本件に関しては「SQLインジェクション」などの攻撃が可能という情報もあることから、タイトルと本文の表現を修正しました。】
脆弱性情報は、開発者が脆弱性を直すために必要な情報である一方で、攻撃に悪用される恐れがある情報でもある。このためIPAは「発見時は開発者に報告し、極秘事項にすること」とし、「報告せずに、脆弱性の存在をネット上にいきなり公開することは絶対に行ってはいけない」としている。また、攻撃者と疑われる可能性があることから「善意であっても必要以上に調査しないこと」ともしている。
IPAでは脆弱性を報告する専用窓口を設置し、情報提供を求めている。
予約システムの欠陥を巡っては、AERA dot.の記者が17日に公開した記事の中で、でたらめな番号を予約システムのフォームに入力しても予約が取れてしまうことを、実際のシステムで確かめたと記載。記事に具体的な手口があったことから「架空予約を誘導している」と報道に疑問を呈する声も上がった。
この他、データベースを不正に操作する攻撃手法である「SQLインジェクション」が予約システムに対して可能という情報も流れたことから、脆弱性など欠陥を第三者が見つけた際の取り扱いについてネット上で議論が起きていた。
自治体では、当事者への通報によりシステムの不備が明らかになったケースもある。東京都では4月27日、特殊な解析ツールを使うことで、ワクチン予約システム上に保管する医療従事者27万人分の個人情報が閲覧できる状態だったことが、外部からの情報提供で発覚。Web予約の受け付けを一時的に止め、対策後に再開していた。
政府が「架空予約」メディアに厳重抗議 大規模ワクチン接種システム改修へ
政府は18日、防衛省が運営する東京と大阪の新型コロナウイルスワクチン大規模接種センターに関し、架空情報による予約防止を目的としたシステム改修を行うことを決めた。一方、岸信夫防衛相は記者会見で、架空の接種券番号で予約ができるか検証したと報じた毎日新聞社、ニュースサイト「AERA dot.(アエラドット)」を運営する朝日新聞出版に「厳重に抗議する」と表明した。
17日に始まった予約をめぐり、毎日新聞とアエラドットは架空の接種券番号で予約ができるか検証。実際に予約ができたことを確認した上で、予約システムに不備があると報じた。
岸氏は虚偽予約防止に必要な接種券番号を含む個人情報について「防衛省が把握することは適切でない」と説明。市町村コードの真偽を確認できるよう改修する考えを示しつつ、両社の報道について「接種を希望する65歳以上の方の機会を奪い、ワクチンそのものが無駄になりかねない悪質な行為だ」と非難した。防衛省は抗議文を郵送した。
加藤勝信官房長官は架空予約が大量に行われた場合について「悪質なケースは法的措置をとることも排除していない」と警告した。
産経新聞の取材に対し、毎日新聞社は「『架空の数字を入力しても予約できる』との情報があり、防衛省への取材を進めるとともに真偽を確認するため実際に入力した上で記事化した。確認作業は公益性が高いと判断した。予約はすぐに取り消した」とした。
アエラドット編集部は「今回の記事は、ワクチン接種の予約システムの脆弱(ぜいじゃく)性と、今後予約システムを使った重大な不正行為が行われかねない恐れがあることを指摘したものだ。記者はシステムを使って予約した後、すぐにキャンセルしている」と説明した。
