196
前回のおさらい
ツイートまとめ 「国税クレジットカードお支払サイト」は誰が運営するサイトなのか 「利用者は、自分(納税者)がトヨタファイナンスに納付を委託するのだということをちゃんと理解した方がよい」というお話。 108761 pv 792 391 users 355
後に盗難事件発生
ITmedia @itmedia
[ビジネスオンライン]不正アクセスで:都税支払いサイトからカード情報6万件超が流出か bit.ly/2nlC0aC
朝日新聞(asahi shimbun) @asahi
都納税サイトから67万件情報流出か 不正アクセス確認 t.asahi.com/n210
読売新聞社会部 @YOL_national
都税支払いサイト、67万件のカード情報流出か j.mp/2neH01p
はてなブックマーク::Hotentry @hatebu
高木浩光@自宅の日記 - 「都税クレジットカードお支払サイト」流出事件の責任は誰がとるのか (51 users) bit.ly/2lMjPPi 6件のコメント b.hatena.ne.jp/entry/takagi-h…
そして今回
東京都主税局 @tocho_syuzei
「都税クレジットカードお支払サイト」の再開について】 上記サイトについては、外部からの不正アクセスにより運用を停止しておりましたが、4月24日(月)9時に再開いたしました。関係者の皆様には、大変ご迷惑をおかけしました。tax.metro.tokyo.jp/oshirase/2017/…
北河拓士🔰 @kitagawa_takuji
「都税クレジットカードお支払サイト」のURLが .lg.jp に変更された。 zei.metro.tokyo.lg.jp
Hiromitsu Takagi @HiromitsuTakagi
運営主体(個人情報取扱主体)が「トヨタファイナンス株式会社」に正されたのは良いが、なんで民間運営サイトが東京都庁のドメイン名の中に置かれるんだよ。どんだけ無能なんだ東京都主税局は。 zei.metro.tokyo.lg.jp/privacy pic.twitter.com/KQuhRqZfZD
 拡大
 拡大
Hiromitsu Takagi @HiromitsuTakagi
しかも、この「東京都主税局」ロゴ zei.metro.tokyo.lg.jp/pages/130001/p… をクリックするとトヨタファイナンス株式会社のこのページに飛ぶんだよ。東京都は主税局をトヨタファイナンス株式会社に売却しちゃったの? pic.twitter.com/8deslbt9qh
 拡大
Hiromitsu Takagi @HiromitsuTakagi
EV SSLが「東京都」になってるし。トヨタファイナンス株式会社の運営サイトに「東京都」のEV SSLを使わせちゃうの。どんだけ東京都は都の信用を民間に売り渡しちゃうの? 都民に断りなくそういうことして許されると思ってるの? で、「公式」って何? pic.twitter.com/EAbQ7zJbPw
 拡大
Hiromitsu Takagi @HiromitsuTakagi
おいおい。 zei.metro.tokyo.lg.jp/faq#q3-10LG.JPドメイン名は……地方公共団体が管理するサイトであることが分かり易くなります。 」 「なお、……トヨタファイナンス株式会社が運営を行っています。pic.twitter.com/ykVFcNYRVz
 拡大
Hiromitsu Takagi @HiromitsuTakagi
この画面(個人情報の直接書面取得に当たる)、情報の取得主体は誰なの? 画面からして、「明示」されている個人情報の取得主体は「東京都主税局」だよね?実際の取得主体がトヨタファイナンス株式会社であるなら、個人情報保護法18条2項違反だろ。) pic.twitter.com/D4p3uZZ65f
 拡大
Hiromitsu Takagi @HiromitsuTakagi
こういうのは会社の方針でしかなく、このサイトにおける個人情報の取扱いが何も書かれていないので、個人情報保護法の義務である「利用目的の公表」をしていない。 zei.metro.tokyo.lg.jp/privacy 手続きを進めた先の「支払情報の入力」の画面に利用目的の明示はあるのだろうか? pic.twitter.com/LIYSiBVWfg
 拡大
崎村夏彦 (=nat) @_nat
@HiromitsuTakagi 外に公表するprivacy noticeと、内規であるprivacy policyの区別がつかず、後者を公表して満足しているケースは結構多いらしい。
Hiromitsu Takagi @HiromitsuTakagi
@tocho_syuzei @tocho_syuzei こんにちわ〜o(^^)o トヨタファイナンス株式会社が運営する「東京都」のサイト、すごいですね\(^o^)/ 東京都は主税局をトヨタファイナンス株式会社に売り渡したのですか(・_・)?
Hiromitsu Takagi @HiromitsuTakagi
もしや国税庁もやられたか……と、「国税クレジットカードお支払サイト」を見に行ったところ、国税庁は無事だった。 さすが国の行政機関は地方公共団体とは程度が違う。 kokuzei.noufu.jp
Hiromitsu Takagi @HiromitsuTakagi
再掲 (「全面」は「前面」の誤字だけど) twitter.com/HiromitsuTakag…
Hiromitsu Takagi @HiromitsuTakagi
どうすればいいのかは、togetter.com/li/1067266 に書いた通りだけど、結論だけ言えば、 このサイトは、トヨタファイナンス社のドメイン名のサーバに「トヨタファイナンス株式会社」のEV SSLで運営すればよかっただけの話。なんら困難でないことなのに。
トゥギャッター公式 @togetter_jp
いまツイッターで話題のまとめはこちらです。「東京都主税局が民間企業に.LG.JPドメイン名を切り売りする前代未聞の暴挙に——EV SSLの「東京都」も」https://t.co/BiQVxN8zZz
Nick @takemotonoriaki
@ockeghem JPRSに問い合わせたら、ドメインの申請者が東京都なのでJPRS的には問題無いという見解らしい。
残りを読む(24)

コメント

ただただし @tdtds 2017年4月25日
呆れた。さすがにこれはない。気はたしかか?
ハマスホ @hamasuho 2017年4月25日
控えめにいってひろみつせんせいのセキュリティ感覚は社会の敵だと思うが、今回は賛成する。
社\(^q^)/畜 @aloneneet 2017年4月25日
知事が知事故致し方なし。都民は地獄を見るといい。
clipout @_clip_out_ 2017年4月25日
.lg.jpは委託を除いた総合行政ネットワークに参加する地方自治体のみに限ってほしいなぁ。
(中2女子)社会主義者akairoさん[岩間達人] @takashi7zzfe 2017年4月25日
トヨタファイナンス株式会社が運営する「東京都」・・・って、インパクトある言葉だなあ・・・
AtsukoOrikasa @Rutice_jp 2017年4月25日
神奈川県だけでなく、東京都も。こんなEV SSL、東京都もトヨタファイナンスもEVを発行したCAも何を信じろと。
抹茶 @macharimo 2017年4月25日
これ、都は当然ダメだけどトヨタファイナンスも分かってないってことだよね
AtsukoOrikasa @Rutice_jp 2017年4月25日
神奈川県だけでなく、東京都も。 こんなEV SSL、東京都もトヨタファイナンスもEVを発行したCAも一体何を信じろと。
SAKURA87@多摩丙丁督 @Sakura87_net 2017年4月25日
削減していいコストと削減しちゃいかんコストってのがあるが。なんか最近東京都おかしいよね。数字しか見てない感。
AtsukoOrikasa @Rutice_jp 2017年4月25日
Rutice_jp いや違うか。CAは東京都主税局から来たものを発行しただけで、こんな使い方するとは思ってなかったのかな?
mere @yoyo_mere 2017年4月25日
EV証明書を何だと思ってるんだ?
やし○ @kkr8612 2017年4月25日
なんとも思ってないからこんな運用がまかり通ってるんだろw
空家の恵比寿様1968 @ebcdic_ascii 2017年4月25日
この後、例によってひろみちゅ砲はサポートセンターを直撃するのかな?
空家の恵比寿様1968 @ebcdic_ascii 2017年4月25日
takashi7zzfe 「オムニ社が経営するデトロイト市警察」みたいなもんでしょうか。
Aki @nekoruri 2017年4月25日
関係者全員が「都税クレジットカードお支払サイト」が都のサイトの運用委託だと本気で勘違いしてるんだろうなあ。 実態としては、コンビニからの納税と同じで民間が運営主体なんだけど。
atlan @atlan1701 2017年4月25日
東京都は愛知に乗っ取られたか
レオナルド根岸 @zigrad 2017年4月25日
古代ローマ時代の、徴税権を買い取って「手数料を上乗せして」徴収という商売が思い浮かんだw
野郎冒険 ミラクルエース @miracleace1975 2017年4月25日
よく判らないが収納代行会社が東京都のサーバー証明書を使っているって事? えっ嘘でしょ....。
KPCG10 @KPCG10 2017年4月25日
仕切っているSE(システムエンジニア)が「顧客にとって必要なシステムの要件」を理解していない案件でしょうw
白山風露@ᗣᘎᘄ @kazatsuyu 2017年4月25日
これ、lg.jpドメインの信頼性自体を損ねる大問題であって、東京都だけの問題ではないのでは?
誤字誤用ポリス @dropee0 2017年4月25日
東京都の財政はトヨタファイナンスに乗っ取られた事実を直視せよ、と。 海外に資産を持っているトヨタグループのほうが、国や都なんかの行政団体より信用力があるというのは、ある意味当然のことなのかもしれない。
kumonopanya @kumonopanya 2017年4月25日
民間企業が国の上に立ったって話か・・・バブルの頃から言われてたなぁ
2D @migrant777 2017年4月25日
もしやこれは名古屋による首都奪取計画の一端なのでは・・・
琥珀@沼温か稲荷 @amber_violane 2017年4月25日
オンライン決済アウトって事って事?
BugbearR @BugbearR 2017年4月25日
業務委託(あくまで主体は行政)と民間運営(主体は民間)とがごっちゃになっているのでは。業務委託なら lg.jp でも問題ないと思いますが、民間運営ならダメですね。
Mochizuki Yoshiki @ym_base 2017年4月25日
BugbearR 業務委託であるなら運営者は東京都主税局になるはずです ですが、サイトにいけば運営者はトヨタファイナンス株式会社と明記されてます
Mochizuki Yoshiki @ym_base 2017年4月25日
プライバシーポリシーにいくと当社と書いてて笑う… いや、全然笑えないけどね
Mochizuki Yoshiki @ym_base 2017年4月25日
このサイトのSSLサーバ証明書の内容には運営者が東京都となっているのに サイトの運営者はトヨタファイナンス株式会社って明記しっちゃっているのが問題なんでしょ まぁ、なんにせよ使わなければいいだけだし、お役人なんてそんなもんでしょ
samai @samai 2017年4月25日
呆れて物が言えない
直式スリップ@皇道派 @PferdTor 2017年4月25日
またトンキン発狂と煽られるのが目に見える
鹿 @a_hind 2017年4月25日
暗黒メガコーポに掌握されるとこんな感じになるんかね。や、別にトヨタファイナンスがそうだとは言わないけど。グダグダだな。
茶でもすするか @zzz_zzz_zoo 2017年4月25日
「トヨタファイナンスは東京都なり」か。その先に「トヨタは国家なり」があるのだろうか。TPPは国際メジャー企業が政府のくびきを取り払って好き勝手できるに等しい制度だし。
電波猫(ギャル) @dempacat 2017年4月25日
トヨタファイナンス「東京都の方から来ました」 「いや、東京都の方って、東京都じゃないんでしょ。東京都から委託を受けてるだけでしょ」 トヨタファイナンス「いいえ、東京都です」 東京都「そうです。トヨタファイナンスは東京都です」
電波猫(ギャル) @dempacat 2017年4月25日
東京都のような杜撰な組織にEV SSLを出したボケ認証局のルート証明書を、ブラウザから抹消すべきだな。
んぱんぱ @crayonmarch 2017年4月25日
日本の役所仕事がIT技術者と致命的に相性悪すぎて誰も雇えないジレンマがいよいよ深刻化してきたな。日本の公務員は本気でコミュ力磨くべきだよ。技術者と対話できるようになってくれよ。でないと滅ぶぞ。
Hiromitsu Takagi @HiromitsuTakagi 2017年4月25日
まとめを更新しました。
亜山 雪 @ayamasets 2017年4月26日
属性ドメインをなめるな。
public enemy @joa9637 2017年4月26日
誰も責任を取らずうやむやにしていれば沈静化する状況なら杜撰な管理になるのも当然 というよりもITに関する知識や認識が全く伴っていないだけでしょうか 関係者の誰一人として何が問題なのかも理解していないのか分かっていて適当な仕事をしているのか
のりしあん @noricyan2 2017年4月26日
問題なのだとしたら、書面1枚で是正が行われる仕組みを作ることが必要です。そういう仕組みを作るのに、効力のあやしい砲撃をネットで続けるのが必要なのだとしたら、情けないことです。
clipout @_clip_out_ 2017年4月26日
切り売りするならせめて、地域型JPドメイン名(*.metro.tokyo.jp)だったら、多少わかんなくもないが……。EVSSLの落ち度が半端ないわな。
浅川 倫之 @asakawaya 2017年4月26日
フィッシングサイトが蔓延してる状況において 東京都主税局のお墨付きサイトなんだから、lg.jpでおかしくはないと思います。 上原さんの主張の方が正しいとおもいます。
うてん。 @uten00 2017年4月26日
黄門が切り札の印籠を民間人にも譲り渡しちゃった状態だよこれ!すさまじい危険性だよ。お墨付きがあろうと公人と民間の看板は切り分けないと絶対にダメ。
うてん。 @uten00 2017年4月26日
実感がわきにくくて「たいした問題ではないのでは?」って思う人がいるのもよくわかるけどこれはたいした問題です。公共団体や政府組織などの持つ lg.jp や go.jp ドメイン名の信頼性は災害とか非常時にも信頼できる看板なのでこれを民間に明け渡すってことはあってはならんのです。何か起きても民間企業は企業の利益を優先します。
ぅち @utipeewee 2017年4月26日
都の代理で納税者から徴収をするサイトではなく、納税者の代理で都税を納付してくれるサービスなので、サイトが証明書やドメインで都のふりをしてはいけない。シンプルに会社の看板で利用者を信頼させるのが正解だと思う。
inu @inu1122 2017年4月26日
ebcdic_ascii すごい直球で理解できた。
まゆーん@姫路 @MrMayoon 2017年4月26日
これが東京都がネオサイタマに置き換えられる第一歩であった…(忍殺脳
うてん。 @uten00 2017年4月27日
東京都が代行してlg.jpドメインを譲り渡したってことは形の上ではトヨタファイナンスの代行サービスごと「東京都が責任を持つ」ってことです。いわば連帯保証人です。でも都は問題を理解できてないし責任も取れない。民間ドメインにしておけば誤解もされず槍玉に挙げられることもなかった。国内に無数にある信頼すべきlg.jpドメインがたった1つの汚染で台無しにされてる危機なんです。
あすかまる @_akm00 2017年4月27日
フィルタリングソフトやフィルタリング機能を搭載するウィルス対策ソフトのベンダーは、都税クレジットカードお支払サイトをフィッシングサイトとして登録し、アクセスブロックするべきだと思う。
3.12はエロアカウント化【てづくり村部長の個人垢・政治垢】 @tezukuri_buchou 2017年4月27日
よくまあ、政治家と官僚・公務員はこういう非常識な問題を多々起こしてくれるもんだ。
みけたす(WGFC-はいご) @mikechi3 2017年4月27日
EV証明書ってこんなにずさんに発行できるんだっけ?もしかしてgoogleのオレオレ認証局使ってるとか(笑)
ephemera @ephemerawww 2017年4月27日
IT革命といってたのが95年頃だったか? 当時から官僚や役所、教育機関はPCの中にまるごと一つの異世界を作るような技術革新に対応して、認識の刷新や法整備、人材の育成やらをちゃんとやっていけるのだろうか?と疑問に思っていたが、いよいよ懸念どおりに破綻してきた感。そもそも役所は組織の性格的に、そういう勉強や育成のためのバッファをあまり持ってないように推察するのだが、どうなんだろう
あんのたん® @ANNotunzdY2 2017年4月28日
「NTTの者です」と名乗るフレッツ & プロバイダ勧誘 (単なる代理店) を思い出した。
あんのたん® @ANNotunzdY2 2017年4月28日
asakawaya トヨタファイナンスのco.jpドメイン / EV SSLではフィッシング対策にはなりませんか?
あんのたん® @ANNotunzdY2 2017年4月28日
Yahoo!公金支払いが東京都税に対応した時が楽しみですね!(前も言った)
ぱんどら @kopandacco 2017年4月28日
そろそろ日本はIT関係に携わる専門部署を作り、ちゃんと勉強していない人間はそこに近寄れもしないようにし、その部署の人間でないとIT関連を運用しないように制限しないと、いずれ国際的にIT村八分食らうようになるんでは
KPCG10 @KPCG10 2017年4月28日
トヨタファイナンス「東京都の方から来ました」 →むむっ!?くせ者!! トヨタファイナンス「愛知県の方から来ました」→よし通れ ! みたいに、愛知県だったらギャグになるけど(いやならないけど)、トヨタファイナンスが東京都主税局を名乗るのは悪夢でしかない。「東京都って、トヨタファイナンスの一部になったの?」
愚者@BOOTH通販開始 @fool_0 2017年4月28日
それにしても今回の件、都側で問題視してる人居ないの? 豊洲移転問題もそうだけど、都側の当事者意識があまりに低過ぎて(特に都知事)問題解決どころか事態の把握すらできてないとしか思えない。
みずいろフォルダー📂 @MizuiroFolder 2017年4月29日
東京都だっていって発行したのに東京都が運営してないって分かったら、CA は証明書失効させなきゃならないんじゃないか?
斉藤・W・ルビンスキー@文化研究家 @dojitenshi 2017年4月29日
日本のIT技術は世界最下位なので、まぁよくある話。少子高齢化でまったくもって問題なし。
斉藤・W・ルビンスキー@文化研究家 @dojitenshi 2017年4月29日
#JPRS がOK太鼓判押してるなら まったくもって問題ないかと (日本のIT技術から見て
斉藤・W・ルビンスキー@文化研究家 @dojitenshi 2017年4月29日
MizuiroFolder その情報提供だったら、googleさんやMoziraさんじゃないかなぁ。 ただし、場合によってはルートCA丸ごとアボンする
さーたん@もふもふ @tripleodd 2017年4月29日
ev sslの意味あるんだろうか。
ユーコン @yukon_px200 2017年4月30日
イノベーティブじゃーんwww
ephemera @ephemerawww 2017年5月1日
日本がIT技術三流国に落ちぶれていることについて、国民は深刻な危機感を持つべきだし、国・行政を突き上げていくべきだろうな。抜本的に体制を見直さないと第3世界にも追い越される
さとうあきひろ @akihirosato1975 6月7日
そもそも東京都にCIOもしくはCIO補佐官っているのかと思って軽く調べてみた感じでは、そういう役職がどうもなさそうな雰囲気。少なくともH28年時点で民間からの登用は無いことは内閣官房の資料で確認できたけど。http://www5.cao.go.jp/keizai-shimon/kaigi/special/reform/wg3/280308/shiryou1.pdf
ログインして広告を非表示にする
ログインして広告を非表示にする