2021年5月17日

【悲報】防衛省のワクチン予約システム 早速ネット民のおもちゃに「SQLインジェクションできる」「同じ番号入れるとその前の予約がキャンセル」【真偽不明】

あーあ なお本当におもちゃにした場合は犯罪になりますので、くれぐれも笑って楽しむだけにしましょう。
152
追記

下記内容はすべて「ソースは2ch」です
情報の真偽は不明ですので、ご了承ください

まとめ 岸防衛大臣「AERA・毎日新聞は極めて悪質な行為」ワクチン予約欠陥報道に大激怒! えーw具体策が「市区町村コードが真正な情報である事が確認できるようにする等」ってこのまま突っ走るつもりなんかw 14453 pv 167 14 users 27
シン・深海魚クンさん💉💉→ボロン!! @53Channel

【独自】「誰でも何度でも予約可能」ワクチン大規模接種東京センターの予約システムに重大欠陥 dot.asahi.com/dot/2021051700… @dot_asahi_pubから

2021-05-17 19:56:20
シン・深海魚クンさん💉💉→ボロン!! @53Channel

マジで、一体何ならまともに作れるんだ? ってレベルだなw

2021-05-17 19:56:50
シン・深海魚クンさん💉💉→ボロン!! @53Channel

1年間あったはずの準備期間は一体何をやってたのやら……。

2021-05-17 19:58:18
シン・深海魚クンさん💉💉→ボロン!! @53Channel

当然ながら、大クラッキング大会が開催されてしまうという……。 【号外】防衛省「システムの大規模な改修は困難」 ジャップwwwwwwwww★4 [628044343] leia.5ch.net/test/read.cgi/…

2021-05-17 20:28:35
シン・深海魚クンさん💉💉→ボロン!! @53Channel

「SQLインジェクションいけた」って人もいるし、物凄いことになるんじゃないかな。予約した人全員の個人情報抜かれたりとか。

2021-05-17 20:30:19
シン・深海魚クンさん💉💉→ボロン!! @53Channel

そうか。今ならジジババじゃなくても予約し放題かw

2021-05-17 20:42:23
シン・深海魚クンさん💉💉→ボロン!! @53Channel

大規模接種始めても、オペレーション間に合わなくてワクチン捨てまくりとかあるかもしれないとか思ってたけど、それどころじゃないな。大規模接種に到達すらできないかもしれない。

2021-05-17 20:45:37
シン・深海魚クンさん💉💉→ボロン!! @53Channel

2chにコロナワクチン大規模接種予約システムの凄さがシンプルにまとめられていた。 pic.twitter.com/5nNllppm6y

2021-05-17 21:07:14
拡大
シン・深海魚クンさん💉💉→ボロン!! @53Channel

例のシステム、torでも予約できるのかよ……。いたずらし放題w

2021-05-17 21:48:07
Cheena 🕵️ @cheenanet

ワクチン予約システム、東京も大阪もLaravel製っぽいよね。Cookieのネーミングが特徴的だから

2021-05-17 21:00:25
Cheena 🕵️ @cheenanet

同じ番号を入れて予約するとその前の予約がキャンセルされるなら全員の予約キャンセルできるな

2021-05-17 21:14:03
Cheena 🕵️ @cheenanet

「善意に頼ったシンプルな予約システム」っていうのめっちゃいいな。善意に頼った持続化給付金ってやつもありましたね… twitter.com/mainichi/statu…

2021-05-17 21:22:40
団地棲みVTuber再無職FE人生詰み太郎@(ふ´﹏`ち)ノ @Fuchi_JPN

410 番組の途中ですがアフィサイトへの転載は禁止です 2021/05/17(月) TORで接続できます SQLインジェクションできます 2021/6/31生まれでも予約できます キャッシュなくなるとキャンセル不能 同じワクチン券番号入力すると、前の奴は椅子から転げ落ちる

2021-05-17 22:28:39
りちぇるか @key5_ricerca

ワクチンの予約システム、クッキー消すとマイページにアクセスできなくなるの草しか生えない。

2021-05-17 23:15:25
フリさん プリティーダービー @fStOadXPEcplDAr

1(二)・接種期間外も予約可能 2(遊)・予約完了後の番号キープにメモが必要 3(三)・接種対象は65歳以上だが65歳未満の生年月日でも予約可能 4(一)・2021年6月生まれでも予約可能 5(右)・なんなら2月31日でも予約可能 6(指)・システム発注先の謎の企業の顧問は竹中平蔵

2021-05-17 22:33:04
フリさん プリティーダービー @fStOadXPEcplDAr

7(左)・「マイページ」がキャッシュを消すと二度と見れない 8(捕)・番号の照会は桁数のみで存在しない架空の番号でも一切エラーを出さず通る 9(中)・防衛省は「善意に頼ったシンプルな予約システム」と言い訳 (投)・予約済の接種番号で予約すると先に予約した人がキャンセルされる

2021-05-17 22:33:04
wryou_innocence @wryouinnocence

何割中抜きしたらこのクオリティになるの pic.twitter.com/nrUMPpvw8Y

2021-05-17 20:25:13
拡大
dragoner@C99金曜東マ12a @dragoner_JP

「防衛省」が絶対口にしてはアカン言葉なのでは… → 「入力する人の善意に頼ったシンプルな予約システム」mainichi.jp/articles/20210…

2021-05-17 21:00:56
追記:こうすればよかった

愛知県の大規模接種では市町村ごとに日程を分けて接種しています。そもそも接種主体は市町村と国が決めたにもかかわらず、あとから国直轄の大規模接種をやろうとするから整合性が取れなくなるので、市町村主体のやり方を変えずにその市町村を後押しする手法が正解でした。

【愛知】大規模接種、17日予約開始 名古屋、春日井の高齢者対象
https://www.chunichi.co.jp/article/253890

リンク 中日新聞Web 【愛知】大規模接種、17日予約開始 名古屋、春日井の高齢者対象:中日新聞Web 県は十四日、県営名古屋空港ターミナルビル(豊山町)と藤田医科大病院(豊明市)で周辺住民を対象に開設する新型コロナウイルスワクチンの大規...
残りを読む(7)

コメント

Denullpo S. Hammerson @denullpo 2021年5月17日
20年前ならともかっく、今時どこに発注したらこんな設計になるのか気になるところである。なお、実際にやらかした連中は逮捕必至のような気がしないでも。
76
kame4477 @kame4477 2021年5月17日
denullpo 人民解放軍「ほーん日本の自衛隊がなんかやらかしたらしいなぁ・・・せや!ちょっと嫌がらせしたろ!」
30
kaneda00tarou @kaneganainara 2021年5月18日
いくら防衛省が集団接種に慣れてないとはいえ、業者を使ってでもこんな穴だらけのシステムしか構築出来ないのはかなり不味いのでは...。
47
ロスジェネおじさん @losgene_ojisan 2021年5月18日
@NTA_jp @MRSOjp いいがんにしてください。税金でそんなレベルのものつくらないでください。
4
ナナミ@DQ10 @namigondqx 2021年5月18日
このシステムはダメだけど、コロナのワクチンそのものは大切な事なのだからセキュリティが甘いから玩具にするのはダメでしょ 変なことはせずに精々友達との笑い話のネタにするくらいにしておかないと逮捕される可能性も有るわけだしねえ
123
緑川⋈だむ モデルナフルチン @Dam_midorikawa 2021年5月18日
なんでこんなに発注者というか用件定義もろくにできないわけ?
34
H.C. @HC97908004 2021年5月18日
セキュリティ的に甘かろうが、用は足りるわけだから初手はこんなもんだろ。 ワナビーがイキってちょっかい出すのはやめとけ
14
ロスジェネおじさん @losgene_ojisan 2021年5月18日
いやいや、同じ番号いれたら前のがキャンセルとか用が足りてないでしょう
93
kame4477 @kame4477 2021年5月18日
HC97908004 もはや頑張ってる姿さえ見せてくれればそれでいいの心境やな。お母さんかw
62
K3@FGO残5 @K3flick 2021年5月18日
ログ取られてたらお縄なんだがよくやれるな…
55
ロスジェネおじさん @losgene_ojisan 2021年5月18日
K3flick とはいえ、ここまでボロボロやと、ログ取っているかも怪しい。
83
zxcvbnmlkjhgfdsa @zxcvbnm27229344 2021年5月18日
え、まだこのシステム停止してないの?さっさと止めて改修しろよ
21
Eizo @hidemin01 2021年5月18日
今時SQLインジェクションできるなんて、初心者レベル以下ですよ。
53
petton @n_petton 2021年5月18日
てかワクチンの予約システムくらいでこうなるなら大規模PCRによる対策なんて土台無理な話だったのでは?ワクチンと違い暇な人は何回やってもいいので横行する多重予約。当日遊ぶ約束ができたので適当な理由つけてキャンセル。自分でサンプルが取れるようになったので不安だったら健康そうな別のやつから採取したのを送付。ネットに氾濫する陽性結果が出ないようにするライフハックという名の検査感度低下手段。ざっと出てくる予想だけでも「徹底的な」対策をしてるはずなのに一向に効果が出ない未来しか見えない・・・
45
がらくたの艦詰め @Not_Get_Can 2021年5月18日
善意に頼ったシンプルなシステムて。そういうのが成り立たないからセキュリティの概念があるんだし、そもそも不正な値で入力できてしまうのはシンプルとかそういうレベルにも達してない・・・
46
lD_B @frswfmhs 2021年5月18日
さすがにSQLインジェクションできるなら止めないとまずいよ~
39
ABルッツィ @LdSDdA 2021年5月18日
sqlインジェクション対策とかDB付webアプリ作る時まず最初に確認する項目だぞ……
41
Launcher @R_Launcher 2021年5月18日
お縄にすると言っても高齢者故にガチで間違える人もいそうだからそれも難しいな
27
inu @inu1122 2021年5月18日
チケットぴあとかに任せた方が良かったんじゃないか
12
ghfhksmkdlnaklk @ghfhksmkdlnaklk 2021年5月18日
inu1122 あれネックなのは予約1回で1000円取られるから国が導入して代わりに負担するってしないと自治体に金無いから出来ない。
7
wbPQMyU @wbPQMyU1 2021年5月18日
SQLインジェクション通ったってのは証拠なしの単発以外ソースが見当たらない。報道されている分だけでひどいが。
27
Simon_Sin @Simon_Sin 2021年5月18日
もうコレ、グーグルスプレッドシートに各自が接種予定日時書き込むので良くない?レベルだな 大規模センターは突然菅が言い出した事だから仕方ないにしてもワクチン接種システムって去年は全く手つけてなかったの?
34
DEN @DD_DEN 2021年5月18日
接種券番号ブッキングしたら前の予約がキャンセルされるのはまず過ぎる。これは一旦ここまでの予約全部チャラですごめんねして、接種開始日遅らせてでも改修後やり直ししないといかんのでは。
21
DEN @DD_DEN 2021年5月18日
ここまでガタガタだと自治体番号でちゃんと切り分けてるのかも怪しいし、間違えて違う自治体番号入れた場合に意図してなくてもブッキングする可能性ある。接種券番号って自治体毎の採番なんで違う自治体の人と簡単にブッキングするんですよ。
13
y "masa" x / x„ɐsɐɯ„ʎ @ymasax 2021年5月18日
最低限の仕様で作っただけでしょ?コンピュータはなんでもしてくれるなんてことはないなんて昔からわかってた話で。接種券の情報をメモするだけのシステムと考えればいいかと。こういう自分勝手な正義でいたずらする人を取り締まってもいいかと。
8
system.exit() @192_168_0_100 2021年5月18日
Cookie消すとマイページにアクセス不能になるのはいかんでしょ。プライベートウィンドウとかブラウザを閉じる度にCookieを削除する設定の人たちが即死するとか酷すぎる
58
y "masa" x / x„ɐsɐɯ„ʎ @ymasax 2021年5月18日
DD_DEN 自治体番号、接種券番号、生年月日でワンセットで処理すれば問題なかったかなと。印刷ミスや入力ミス(いたずら入力)がなければ被らないと思います。
3
DEN @DD_DEN 2021年5月18日
VRSに発券された分の対象者情報は(自治体がちゃんと入れてれば)入ってるはずなので、そっから落として自治体毎に接種券番号とマッチングチェックぐらいすればいいのに。と思ったけどあれはあれで問答無用で選択自治体分全件DLする糞仕様らしいしマイナンバーくっついてこられると法的な扱いがってなるからパスしたんだろか。
3
キャンプ中毒のドライさん(Drydog(乾)) @drydog_jp 2021年5月18日
もう、役所の人間にはシステム構築にはこれくらいの期間と予算が必要だって常識を研修でたたき込む必要があるんじゃないだろうか。 テスト期間が存在しないスケジュールでの発注だったようにしか見えない。
23
にゃかがわ @nyakagawa_r 2021年5月18日
「システム」というか、もはやただのホワイトボードやん。自分で好き勝手に書き込むだけでチェックが無いんだから。
56
N.Mizusawa🇺🇦🇷🇺 @wtp2005ap 2021年5月18日
「1年間の準備期間、何をしていたのか」←ほんとにそれ。 何してたの?市町村から公募すればもっとマシなものが集まりそう。
44
trycatch777 @trycatch777 2021年5月18日
他のまとめでも書いたけどCOCOAからこっち、まともにテストもできてなさそうなシステムしか出てこない。それ以前に「こんなんでええやろ」的な仕様の決め方でGOを出したのは酷いんじゃないの?と思える。
21
皆月きらら🐎🍅 @Kirara_TMO_R 2021年5月18日
こんなしょうもないもの外注するより各地のシビックテック関係者集めて作成依頼した方が余程良い物が出来たと思う。。。
2
ディー @DDcmdd 2021年5月18日
さすがにこのガバシステムを「頑張ってるんだから」で擁護するのは…………普通に予約側の入力ミスだってありうるんだし、もうちょっとなんとかならなかったのか……?
78
うさが @Unlimited_SaGa 2021年5月18日
期間や予算の問題ですかねぇ・・・防衛省に限らず、お役所関係のシステムって頻繁にこういうお粗末さが問題になる気が。これは予算増やしてコンピュータ関係を強化しないと駄目でしょう。五毛党まで雇ってサイバー犯罪に必死などこかの国の前にあまりに無防備。
7
M @omuretuinu 2021年5月18日
一番まずいのはこういう不具合があるのが分かっても改修出来ないって言ってること。 国がこういう仕様で契約したのかなあ?
21
qwerty @Polynomialtime 2021年5月18日
防衛省のITリテラシー、そのへんの学生以下。中国に好きなだけデータ抜かれてるんだろうなあ
22
qwerty @Polynomialtime 2021年5月18日
何がやばいってこの粗大ゴミを停止する決定すらできないこと。
52
hizen31415 @hizen31415 2021年5月18日
押し出しキャンセルはちと弁護しきれない。
14
kame4477 @kame4477 2021年5月18日
n_petton そもそもワクチンの接種主体が市町村と国が決めて市町村が勝手にシステム作ってたのに、あとから別建てで大規模接種やろうとするからおかしくなるんよ。市町村主体の枠組みを変えないのが正解。愛知県の大規模接種は市町村ごとに日程分けて、その日ごとに市町村のシステムに合わせて接種してると思うから、この考え方が正しい。 https://www.chunichi.co.jp/article/253890
30
オトラント公 @JosephFouche521 2021年5月18日
現場猫「何を見てヨシ!って言ったんですか?」
25
豚丸 モモモ@六四天安门 @Fu_tujin 2021年5月18日
まあ、とりあえず、こいつら通報しとくか。いたずらだもんな
16
kame4477 @kame4477 2021年5月18日
n_petton まあ菅ちゃんのブラック企業的トップダウン強引手法が、成果を出すときもあるけど、こういう致命的なエラーを吐くこともあるんですな。
7
kame4477 @kame4477 2021年5月18日
少しツイートを追加と kame4477 の内容を本文に追記しました。
1
天津飯だったもの @a1lic 2021年5月18日
威力業務妨害罪でしょっ引かれるかもしれないのによく試せるね、君たち
50
BIRD @BIRD_448 2021年5月18日
DD_DEN 東京都の大規模センター用の予約に、他地方の人が接種券番号入力したとしても実際接種の段階で拒否すれば問題ないでしょ…ただ、蹴落とす予約ができちゃう現状から「実行列が手堅い」まで行きそうでなあ…
1
月末も腓骨 @ribsleftrurs 2021年5月18日
なんというか…毎度のことだが本当にダメだな…
17
wissen0304 @wissen0304 2021年5月18日
こんな感じでいいですか?の確認用プロトタイプそのまま使っちゃいましたくらいの勢い。
2
フトシ @hutoshi_P 2021年5月18日
うーん… 素人が作ったのかなってくらいお粗末なのはさすがに擁護出来ないよ
7
BIRD @BIRD_448 2021年5月18日
kame4477 神奈川県川崎市も市民向けに大規模接種センターを別建て設置の予定なようですが、広報ページでは予約方法や受付時期、ワクチン種等未定となってるため実際どうなるか不明。別会場設置を計るのはワクチン混同の懸念を減らす意味かも?
1
さばこ @saba_sono4 2021年5月18日
国のシステムまともなものがない思ってたが、これはトップクラスにひどいな。
14
月末も腓骨 @ribsleftrurs 2021年5月18日
wissen0304 小学生が初めて作ったプログラミングの習作を納品したようなもんだ
7
フトシ @hutoshi_P 2021年5月18日
はっきり言って技術者なら絶対やらんことばっかりだからテスト時間削ったアホがいたと思いたい
32
toget9999 @toget9999 2021年5月18日
既存の予約番号上書きとか6月31日が通るとか範囲外の日付で予約できるとか、逆にエラーになるケースはあるのかってレベル
15
くじら @kujira_desu 2021年5月18日
a1lic 電磁的記録不正作出及び供用罪の使えそう。間違えて登録したレベルなら見逃して貰えるかもしれないけど、数件登録した人は警察が動くかも
12
東雲あずみ @azumi_s 2021年5月18日
よほど要件がガバガバだったとしか思えない
1
ロスジェネおじさん @losgene_ojisan 2021年5月18日
摂取とか会場設営は自衛隊がやるにしろ、予約システムは、総務省とかデジタル庁がやるとかの分担はできなかったんだろうか?省庁間の調整する大臣もいるわけだし。
5
椋木 @kuraki1122 2021年5月18日
ここまで酷いと擁護のしようがないというか、下手したら詳しい学生に作らせた方がマシレベル。ほんまこの国実体のない物作るの弱いな
27
qwerty @Polynomialtime 2021年5月18日
まともな脳みそがある人間が一人でもいればこのゴミをリリースするとかありえない。完全な素人が数人でググりながら作って何のテストもなくというかテストという概念すらなく強行したとしか
28
wbPQMyU @wbPQMyU1 2021年5月18日
今試してきたけど、AERAdotの入力は通らなかった。Torも東京の場合は弾かれた。大阪は通ったけど。他にも現在の状況と異なる点はありそう。流石にしっかり試す気にはならないが。
6
神無月 @sanpai2929sii 2021年5月18日
擁護するつもりもないし、内情も知らんが、とにもかくにも急がされていたのかなと思ってしまう。
3
wbPQMyU @wbPQMyU1 2021年5月18日
wbPQMyU1 報道された部分だけピンポイントに防いでる可能性。適当に入力した数字だと予約手前まで行けた。
21
petton @n_petton 2021年5月18日
wtp2005ap いや、最終決定するのはそういうシステムのことわかってない上層部だからそういう集め方するとアピールが上手いだけのところに発注されてしまうんじゃないかな。これいっそのことソシャゲ業界に投げた方が良かったんじゃねえかな。
16
フトシ @hutoshi_P 2021年5月18日
wbPQMyU1 マジなら国民総デバッガー時代が始まるな オラワクワクしてきたぞ
11
qwerty @Polynomialtime 2021年5月18日
時間無いとかで説明できるレベルじゃないだろ。中抜きって言ったってまともな金出して投げればいくらなんでもこのゴミは出てこない。ほぼ満額抜いたのか、そもそも予算が完全に無いのか。ほんとしょうもない国になったな
5
まいける@枝豆ココア @MaiCoCoCoa 2021年5月18日
脆弱性見つけたら試すんじゃなくてIPAに指摘&サイトに報告が正しいITしぐさだぞ
68
kame4477 @kame4477 2021年5月18日
続き:岸防衛大臣「AERA・毎日新聞は極めて悪質な行為」ワクチン予約欠陥報道に大激怒!https://togetter.com/li/1716261
8
○○さん @tsujimoto_ 2021年5月18日
妨害者を全員逮捕すればイタズラはなくなるはず。
5
kame4477 @kame4477 2021年5月18日
tsujimoto_ ネットは海外にもつながっとるからなぁ・・・ kame4477 人民解放軍「ほーん日本の自衛隊がなんかやらかしたらしいなぁ・・・せや!ちょっと嫌がらせしたろ!」
25
ながいずみ(個人用) @nameriizumi 2021年5月18日
なんらかの悪意を持ったユーザが接種券番号ブルートフォースアタックするだけで善意のユーザの予約ぜんぶキャンセルできるってことであってる?
31
qwerty @Polynomialtime 2021年5月18日
関係者全員底抜けの馬鹿しかいないんだろうな。
3
Bunga_Snail @Bunga_Snail 2021年5月18日
192_168_0_100 クッキー消したら駄目ってシステムもまずいと思うが、クッキーを毎回消すようなブラウザを使っている奴なら、ワクチン予約システムはそういうブラウザではアクセスしないようにするくらいの頭は持っていて良いと思うんだよ。どうすんだ!?じゃなくてさ、もう少し良い方に頭使おうぜ。
10
Bunga_Snail @Bunga_Snail 2021年5月18日
kame4477 今回キャッキャウフフしながら見つけて報道した各種機関は、ネットは世界につながっていて当然日本を敵視している奴らもこの状況を見ているってことは解ったほうが良い。当然突ける穴があれば、国民が止めてくれってお願いしても止めないし、その攻撃は想像以上に酷なのは覚悟すべき。
51
一本足りない鳥 @talotmaster 2021年5月18日
官も民も一丸となって無駄の削減を声高に進めた結果、いざというときの体力や金、技術力や余力まで無くなっていたでござる。俺は疲れていた。誰も彼もが疲れていた。
2
cinefuk 🌀 @cinefuk 2021年5月18日
『野党は汚職の追及を辞めろ!』とワーワーやってた結果、こうした手抜きシステムの無責任な受発注が起きても、手配の経緯を記した公文書は「紛失した」「最初から作成していない」と言い逃れる事ができるんだよな。急ぎで随意契約するのは仕方ないけど、その手配が正当だったか?という事をあとから検証できるようにしておかないと、悪党が好きなようにやりたい放題
50
qwerty @Polynomialtime 2021年5月18日
まずこれにGO出した責任者を逮捕しろよ……
22
シッズ〇@ゲーム専用垢 @shizzumaru 2021年5月18日
COCOAでやらかした竹中平蔵を未だに重用してる時点で自民もうあかんやろ、 かといって立民も論外だしこの国詰んでる
28
キセノン @doggukyatto 2021年5月18日
善意に頼ったシンプルな予約システムとかファーウェイにケチつけてるレベルじゃない。
7
cinefuk 🌀 @cinefuk 2021年5月18日
「中国を見習って厳しい報道規制を布くべき」と主張する Bunga_Snail 。ハッカーのおもちゃになった時点で既に外国の情報部には筒抜けだし、外国のメディアも規制することは出来ない。世界中の人が知っているのに、自国民だけが事実を知る事ができないまま政府プロパガンダだけ信じる北京市民の幸福
51
Noodle. @Noodle1002 2021年5月18日
こんな時にマイナンバーカードが生かせないというのがもどかしい
12
spin_out @spin_over 2021年5月18日
システム開発なんて金ケチって急がせたらこうなる。
5
Hacchi @2mocccck 2021年5月18日
正直、速度重視なら多少クオリティ低くてもしゃあないとは思うけど今回のこれはただの泥縄だから擁護できんな。ただ「急げ」と号令かけるだけなら小学生でもできる。本当にIT後進国だな日本は。ドキュメントは荒くてもアプリ自体のクオリティは担保してくれそうなゲーム会社とかにでも投げた方がよかったんじゃないか。
19
BugbearR @BugbearR 2021年5月18日
見事なIT後進国ですなぁ… いや、ちゃんとした人はそれなりに居るんだけど、数が少ない上に、なぜか正しい部署に付けない社会なので。教育システムと人事システムをどうにかしないと永遠に直らないでしょう。
32
qwerty @Polynomialtime 2021年5月18日
記者がちょっと試してわかるような脆弱性、ハッキングしようとしてる奴が見つけられないわけ無いだろ。政府関係システムとか片っ端からクロールしてる時代なのに。本当に脳みそお花畑だな
39
nonoちゃん aka 晴陽 @n_o_pzdr 2021年5月18日
竹中平蔵さんは不始末の責任を取ってくれるのかなぁ?
17
阿Q瘋癲㌠ @footen810 2021年5月18日
もう外歩いてる人間捕まえて片っ端からワクチン打ってく方式でいいんじゃないかな
6
中華鍋 @nabesi_ 2021年5月18日
システムがゴミとはいえよく公的機関に不正アクセスしようと思えるな。 コロナ禍で無敵の人増えたね。
5
なみへい @namihei_twit 2021年5月18日
denullpo やらかした連中ってのは、発注先を決めた奴、それを承認した奴、を当然含むんですよね?
24
ゆきやけ @yukiyake_ 2021年5月18日
予算も時間もないパターンだろうし、まずこう言うものを少ない時間でちゃんと設計出来る人が限られているのがね。 まあ、プレハブ小屋はそう言うものでしょという話
2
超icbm @ssicbm 2021年5月18日
ちょっと知識があれば、ある程度の信頼の元こういう遊びする人はいるんだけど、駄目すぎて出来ないなこれ。
1
luckdragon2009(rt多) ワクチン×3済 @rt_luckdragon 2021年5月18日
世界中に踏み台使って不正アクセスする人はいるので、この品質は擁護できない
25
luckdragon2009(rt多) ワクチン×3済 @rt_luckdragon 2021年5月18日
外部からの品質テストしたい場合は、何らかの手順踏めよ、とは思うけど。
0
超icbm @ssicbm 2021年5月18日
Bunga_Snail 初歩の初歩過ぎて罠かと疑うレベルなんだよなあ…
5
じ〜げん〜 @jigen357mgnm 2021年5月18日
こんなガバガバシステムに何10億払ったの? この程度で良ければオレが1ヶ月で作ってやるから、月給5億くらいくれよww
27
liatris @liatris4405 2021年5月18日
多分2~3日くらいで作ったんじゃね。 残りの工数は書類周りとか申請周りで全部終わりだろ。
2
cinefuk 🌀 @cinefuk 2021年5月18日
防衛大臣も cinefuk で指摘された奴と同レベルのアホなので、アレをクビにしてイキリTogetterオタクを大臣に据えても大差ないかもしれない。「検証でダミーの予約番号を取得したあと取消処理した」と書いてあるのに。自社のやらかしをごまかす為、フォロワーの"反マスコミ勢"をファンネルに使って攻撃させるテクニックか? https://twitter.com/KishiNobuo/status/1394440062125805572
41
Ayuha @aymhtnk 2021年5月18日
「SQLインジェクションが可能!」という話については懐疑的。一次ソース5chだし。 雰囲気的にLaravel使ってるっぽいので、(普通にやれば)インジェクションは起こらない筈。
6
すとらだびあんけ @mafmafratte 2021年5月18日
防衛省のこれ、システムは防衛相が選ぶ余地なく政権幹部のお友達の会社製使う事は あらかじめ押し付けられてたのかな?
3
キャンプ中毒のドライさん(Drydog(乾)) @drydog_jp 2021年5月18日
mafmafratte 案件定義が酷すぎてまともなメーカーが逃げ出しただけ何じゃないかと言う気が
6
spin_out @spin_over 2021年5月18日
防衛省に食い込んでるソフト屋の地盤沈下だろうね。いまの低コスト開発体制でまともな開発者が育つわけない。有能な技術者は外資に行くでしょ。技術に金出さない体質は国内の民間も一緒だけどね。
3
spin_out @spin_over 2021年5月18日
マイナンバーをユニークキーにしてマイナンバーに紐づく連絡先を国が持ってればそれだけで要件がかなり楽になるのだが、政府の不手際に文句言う人はそっちには話向けないんだよなぁ。
15
らっともんきー @ratmonkey36 2021年5月18日
cinefuk むしろ脆弱性をスッパ抜いた事怒るべきやろね。ガバガバシステム自体は擁護しようがないが、わざわざここにガバガバシステムありますよ〜〜〜wwwって吹聴して回るのは同等以上に悪質やで。
36
petton @n_petton 2021年5月18日
kame4477 それは流石に各市町村の最低レベルのシステムとそれを統括する組織の能力を過大評価しすぎでは?「市町村ごとに日程分けて、その日ごとに市町村のシステムに合わせて接種してる」と聞くと最適化されているようにも聞こえますが、それ「高度な柔軟性を維持しつつ臨機応変に対応」しないといけないやつなのでは?
2
長 高弘 (獣脚類ティラノサウルス科ズケンティラヌス) @ChouIsamu 2021年5月18日
普通の会社なら、不良品や社外事故の対応は品質保証部がやるモノだが、このシステムの作ったとこには、そもそも品質保証部が無いとしか思えない。
3
asuraneko @読書垢、勉強垢 @asuraneko 2021年5月18日
「地獄への道は善意で舗装されている」という言葉が、あったね。
1
cinefuk 🌀 @cinefuk 2021年5月18日
#アネクドート(スターリン・ジョーク)かよw ratmonkey36 『防衛大臣はアホです!』『国家機密漏洩で逮捕する』
36
kame4477 @kame4477 2021年5月18日
n_petton いやだから市町村ごとのシステムになってるところに、市町村を超える範囲で大規模接種しようとしたから難しいんであって、市町村のシステムにそのまま乗っかるからいいんだよ。要は春日井市の接種日には春日井のシステムでやればいいし、名古屋市の日は名古屋市のシステム。予約も春日井市民は春日井市で予約する。シンプルでしょ。
8
有希.猫源反応 @ayano_fox 2021年5月18日
戦争状態というか国防の領域と言って過言じゃ無いのだから、軍事のセキュリティにも不安が残る……。
5
η is like my name @fsphere_exodus 2021年5月18日
どうしてIT業界はここまで人材の過当競争が起きているのに実際にできるモノはこんなんなのだろう…
15
slips @techno_chombo 2021年5月18日
[c9131274] 「ワクチン接種を大規模に行わなきゃいけない」ってのはもうずっと前から分かってたことでしょ? それに対してロクにロジも考えてなかった、ってのが問題なんじゃないですかね。一応「接種は各自治体で行う」ってのが「ロジ」だと思ってたみたいですが。
5
kame4477 @kame4477 2021年5月18日
n_petton あくまで接種主体は市町村のままにしといて、打ち手と場所だけを、国から自治体に提供する形が、そもそもの構想からすればシンプルだし、整合している。ということね。
6
タバ山 @Irukukwu 2021年5月18日
どういう経緯でこんなゴミが出来上がったのか気になるな
12
slips @techno_chombo 2021年5月18日
ratmonkey36 まぁ確かに「自衛隊はこんな状況でした」ってのは最高の国家機密だなぁ。
7
slips @techno_chombo 2021年5月18日
ratmonkey36 「脆弱性をすっぱ抜いた」というよりは「脆弱のかたまり」みたいなもんだってことを示しちゃいましたからねぇ。
20
S.O. @so_rei 2021年5月18日
クオリティは二の次、速度重視の開発ではあるんで、多少のバグは仕方ないよ。多少はね。 けどこれは、エンジニアとして見ても「多少」ではないです…………
23
petton @n_petton 2021年5月18日
kame4477 それ金と人材に恵まれない地域の住民は悲惨では?
5
にごり @nituhitorigo 2021年5月18日
ワクチン接種なんて国家の重大事がなんでここまでおもちゃにされてるかって、シンプルにお国に対する信頼を品質で裏切っちゃったからじゃないのかなあ、この件に限らず
18
諏訪真 @liarsuwa 2021年5月18日
GoogleFormでええんちゃうん? と思った。このシステムよりは遥かに堅牢だろうし。 それか国産ならKintoneとか。(負荷にはちょっと弱いが
5
kame4477 @kame4477 2021年5月18日
n_petton なんで?システムつなぐだけやん。実際愛知県ではそうやってるみたいやし。
5
瑞樹@ウェーイワクチン接種3回終了 @mizuki_windlow 2021年5月18日
遊んじゃった人、おまわりさんからご連絡が来るかもしれないから震えて待ってろよ🧡
10
just_away @just_awaympo 2021年5月18日
このどこに出しても恥ずかしいクソシステムを承認した防衛大臣が「欠陥を暴いたマスコミが悪い!」と責任転嫁してんのが最悪すぎるわ
53
稙田惟純 @ohgakorezumi 2021年5月18日
開発の時間取れないなら、ひたすらコールセンターを拡充配置するのがベストだったんじゃないかと思うんだが。人多いところほどコロナ失業者も多いだろうし。
4
qwerty @Polynomialtime 2021年5月18日
国家の重大事だと理解してない、ワクチン接種をおもちゃにしてるのはどう考えてもこれ出してくる防衛省だろ。
45
オトラント公 @JosephFouche521 2021年5月18日
記事にせずに内々に問題を指摘せよ、というのも正論なのだが、厚労省のCOCOAとかは散々GitHubの開発者コミュニティーで不具合を指摘しても放置されていた問題があるので、問題を報道した方が対応せざるを得なくなり最終的に対応は早くなるかもしれない
35
Tadashi 昼行灯 Iwato @t_iwato 2021年5月18日
入力ミスを一切チェックできないってことは、普通に予約して番号をミスった人もそのままスルーした挙句に持参した接種券が無効だと言われちゃうってことだよね。善意もへったくれもない、役に立たないシステムじゃん。「6と3と8の違いは現場の目視で許容する」とかグダグダにするのかね。
16
qwerty @Polynomialtime 2021年5月18日
指摘方法云々も限度ってものがあるわ。特殊な仕様とかアップデートされたばかりの要素を利用した誰も気づかないような脆弱性ならともかく、「何もテストされてないゴミです、素人の記者が触っただけで分かります」なんて「内々に」指摘してちゃんと対応するとでも?このゴミ出してくる意思決定者なのに?
46
鍋島たま @nabeshima_tama 2021年5月18日
TORで予約できる時点でもう終わりでは(トラッキングできない
1
cinefuk 🌀 @cinefuk 2021年5月18日
ohgakorezumi ITに馴染みない老人が支配する老人国家だと開き直って、全部アナログでやった方がマシなんだよな。結局「コロナ利権に防衛省もあやかりたい」と偉い人が考えて(コロナ大臣は菅政権で4人もいる)、システムの不備を現場(自衛官)に押し付ける。不備を指摘されて「おれの不手際を指摘されると現場の士気が下がるだろ!」と逆ギレ( cinefuk )。お前(安倍ちゃんの弟)だよ、現場の士気を下げているのは!
28
宮部珠江 @YumyumDiner 2021年5月18日
[c9131274] このシステムの開発に1年って意味じゃなくて、大量のワクチンを国民全員に迅速に接種させなきゃいけないことが1年も前には分かってたのに、今までどんな準備をしてたのかってことでしょ。プランAがうまく行かなかったときのプランB、プランCぐらい事前に考えて、その準備はしてないのかってこと。
14
らっともんきー @ratmonkey36 2021年5月18日
念の為言うとくけど大臣もシステムもワイは一切擁護する気ないからね。ただああやってスッパ抜く事は果たして正解だったのか???って疑問視しとるだけよ。
9
かもしたゆうすけ @KamoshitaYusuke 2021年5月18日
もともと接種は市町村が主体で進める方針だったところ、菅が市町村の都合を一顧だにせず勝手にスケジュールを公言して、そのスケジュールを達成できないことが明らかになるや国で接種を推進することにして帳尻を合わせようとするも、そんな土壇場でちゃぶ台返しされても現場の準備は間に合うわけないっていう、政府の無計画さの表出でしょこんなん。
15
ねこめ @nekomelon 2021年5月18日
防衛庁にも電子戦部隊が居たはずだけど、こういうのには関わらないんだろうね。
5
かもしたゆうすけ @KamoshitaYusuke 2021年5月18日
大規模接種の検討段階で「今から手配しても予約システムの構築が間に合わず余計な混乱を招くかもしれません」と言える奴が菅の周りには誰もいないってことでしょ。今もたぶん首相周辺は、最低限の機能すら備えてない予約システムのお粗末さからは目を逸らして「いたずらする奴が悪い」の大合唱じゃないかな。だから菅は「無茶なスケジュールを強行しようとした自分の采配が間違ってた」と反省することもない。
27
まう?@ただいまダイエット中 @mau_mantou 2021年5月18日
偽計業務妨害罪で前科がつく可能性があるのによくやるわ。
26
cinefuk 🌀 @cinefuk 2021年5月18日
KamoshitaYusuke いまだに #さざ波 コンサルを雇ってる愚王の現状認識は「まだ1万1千500人しか死んでない。 日本はコロナに勝った!」と思っている筈
12
鶴島 亀島 @craneturtle 2021年5月18日
cinefuk お願いです。インドとは比べないでください。
4
bee000456 @bee000456 2021年5月18日
遊びで画面だけ作って飽きてあと放置したみたいなシステムだなぁ
3
qwerty @Polynomialtime 2021年5月18日
確かにもうバカバカしいから報道なんかしなくていいわ。いっそノーガードであらゆる情報を全世界に垂れ流せばいいじゃん。国内から指摘されたら逮捕。海外にやられたら遺憾の意でも表明しておけ。
13
鶴島 亀島 @craneturtle 2021年5月18日
cinefuk 職業訓練や勉強と仕事のつながりを軽視する風潮とシステムの問題。 なのでトップを数十歳若返らせても価値観、知識、アイデア、技術者ネットワークがなければ同じことの繰り返しの可能性も。
3
西方政府軍兵士@ノクターンノベルズ&ノベルアッププラス @Lkpi8dEIKmF7bi1 2021年5月18日
cinefuk さざ波発言は今危機的状況の地域の1つに在住する人として本当に腹が立ったけどさ、現状世界規模で見るとコロナ禍の中で日本はまだコロナによる犠牲者や被害が少ない地域であるというのもあのグラフの数字の通りであるのも事実なんですよ。後現政府が愚王なら、ゼロコロナ戦略()とか言ってて未だにPCRとにかく増やせと言ったりしてる野党側は反乱軍気取りの盗賊団か何か?と言いたくなる。
18
時事野次馬 @yajiuma_jiji 2021年5月18日
そして金の匂いするところに竹中平蔵(受注業者の『特別顧問』)
12
らっともんきー @ratmonkey36 2021年5月18日
yajiuma_jiji MMRにおけるノストラダムス並の黒幕と化してるのほんま草やで。
5
goodmoon @goodmoon 2021年5月18日
fsphere_exodus 下の方では新卒やら未経験者やらがIT人材と称して派遣会社から送り込まれてるからではないかと思います。
2
ひろ @b5h2Md8b4Nx5pEv 2021年5月18日
これ完全にハッキング行為ですよ。防衛省に穴を直接指摘するならいいけど、ハッキングできる事を大々的に報道しちゃったら完全にアウトですよ。
30
sokuoku @sokuoku 2021年5月18日
関連の「はてなアノニマスダイヤリー」(こっちに詳細あった。いずれにせよ、これも末端へ振って負担かけるだけという、日本あるある事例か) ワクチン予約のクソシステムについての私見 https://anond.hatelabo.jp/20210517201151
0
鱶森 @sHark_plus0 2021年5月18日
wtp2005ap まともに動いてた初期cocoaが国管轄であの有り様だから、委託先が悪かったらどうしようもない
9
鶴島 亀島 @craneturtle 2021年5月18日
kame4477 情報はかくせばいいというものではない。情報を出して国を守る方法もある。 旧ソ連と衛星国は、情報を隠しすぎて潰れたのを忘れることはできない。 この間も中国が新型コロナウイルスの情報を出し惜しみする合間、世界中に感染が広がった。それは今も続いている。
2
undo(あんどー) @tolucky774 2021年5月18日
エラーチェックがないのは要件定義と受入テストしてないからやろうし発注側の責任だけど、SQLインジェクションは受注側の責任やぞ
2
beigyiaa @beigyiaa 2021年5月18日
Polynomialtime 敷地にロープが貼って立ち入り禁止と書いてあるだけの所に無断で立入ったら不法侵入で訴えられます。 例え相手のやり方が杜撰でもやっていけない事はいけないんですよ。
14
undo(あんどー) @tolucky774 2021年5月18日
しかしこれよく受注したな。なんぼ要件定義でokになっても受けたらあかんやつやで
2
qwerty @Polynomialtime 2021年5月18日
これが国防問題だと理解できてないんだろうな。ほんと脳みそお花畑の馬鹿だらけだわ
15
petton @n_petton 2021年5月18日
kame4477 え…この不具合出したら何言われるか分からない状況で、愛知県ができてるからって理由で市区町レベルでバラバラのシステムの整合性取りながら稼働させるん?つら…
17
undo(あんどー) @tolucky774 2021年5月18日
エラーチェックがなかったらどうやって受付データの中身を担保するのかわからん。まともなデータの方が少ないのでは
2
beigyiaa @beigyiaa 2021年5月18日
作ったやつがダメなのは基本ではあるが、だからと言って「やってはダメ(教えるのもダメ)」なの。
22
undo(あんどー) @tolucky774 2021年5月18日
ハッキングじゃなくてクラッキングね
4
LCO @f_lco 2021年5月18日
作る側視点で「常識で考えたらコレぐらいのチェックはするだろ!?」っていうチェックが入ってないの 「一切気を利かせる事無く要件定義通りに作りました、無茶な要件だけで丸投げした発注者が悪い」っていうベンダー側の反乱の可能性もある
5
LCO @f_lco 2021年5月18日
「えーっと、こういうチェック入れた方が良いんですけど、どうします?」ってベンダーから発注者に確認するのは良くあるけど その問い合わせルートがまともに機能してないとか、問い合わせて対応してる時間も無いとか、問い合わせるのに書面で書式揃えてハンコ揃えて云々とか、そういうあまりにクソな状況だと 「はー、もう知らねぇ、”言われた通り”には作ったからな」ってブン投げる
10
ぢゃいける @jaikel 2021年5月18日
生年月日チェックすらしていないってことは、単に入力されたテキストを接種番号だけキーにして存在チェックもせずにオーバーライトしてるだけってことなのかな… これはいくらスピード第一とはいえ擁護できない…
12
八代泰太 @3914kcorkcolc 2021年5月18日
fsphere_exodus 丸投げの丸投げの丸投げでクライアントから作成現場まで距離が開きすぎているからですかね。 正直、ひ孫受けとかの現場と直接やり取りできれば安く確実に作れるんでしょうけど、そもそも現物箱物を発注する方法をプログラムに持ち込んでしまっているので……
3
MR.Lama@💉💉個Lama事業主 @Morigori_Kazu 2021年5月18日
まあそれだけITに投資とか力を入れてこなかったツケが来ただけだね。 コロナ前は日本のITはウンチやろってにわかに言われてたが、これで確定的になったよね。 もちろんいいものもあるけどかなり少ない。ウェブサイトづくりは自衛隊がやることじゃないしね。国とかが率先してちゃんとやっておくべきだったのにね。
3
sarubass @sarubass 2021年5月18日
町なかに立ててある板に模造紙っただけの予約表だからみんなで仲良く丁寧に使ってねってことだな。
4
ゆり死ぃ @a88942740804 2021年5月18日
インターネットのアングラな人間が見つけて盛り上がってるだけかと思ったら脆弱性の一時ソースAERAかよ。脆弱性を対策前に周知するのは常識的に考えてアウトでは?素人だからやっていいことと悪いことの区別も付かなかったんかな?
10
@onpu_original 2021年5月18日
これ打ち込める番号を100000000000個分予約した人とか普通にいませんかね? だとすると先に予約してた人が軒並み椅子奪われて当日現場大混乱になりませんか?
4
LCO @f_lco 2021年5月18日
tolucky774 期間的に真っ当なトコは受けないから、どっかの技術派ベンチャーが「何とかしてみせましょう」と立ち上がらなければ(そういうとこは官公庁にパイプ無いでしょ…)、「うちなら出来ます」系のアレなトコにお鉢が回るのは自然な流れかなー… ケケ中が云々って騒がれてるけど、この「確定クソ案件」をI〇Mや〇PやN〇Tが手上げて火中の栗拾ってくれるとでも?
4
BIRD @BIRD_448 2021年5月18日
Noodle1002 WW2前からマイナンバー相応の社会保障番号制度を採用していたアメリカもスムーズに予約接種できてわけではなく、18万回分以上の廃棄とワクチン行脚者が出ている。マイナンバーにそんな期待かけたらアカン。
1
否定騎士 @deknight440 2021年5月18日
「予約システムがクソゴミなこと」と「そのクソゴミな脆弱性を具体的に、数百万人単位に報道する」は全く別の問題。前者は批判されるべきだが、だからと言って後者が免責されるわけじゃない。
30
椋木 @kuraki1122 2021年5月18日
sengoku38は賞賛されて、これが叩かれるの割と不思議。文句言うなら不具合握り潰して内部告発誘発させた防衛省に言うべきでは?
33
ゆり死ぃ @a88942740804 2021年5月18日
これを機に、大規模なシステムの脆弱性をスクープとして報道するような風潮が生まれたらヤバいから厳重に対処してほしい。クソシステムを作る開発、クソ要件定義をする省庁もヤバいけど脆弱性を周知するマスコミもアカン。
8
第7公園(ブランコ有り〼) @SiryouC 2021年5月18日
>後者が免責されるわけじゃない。 免責されるべきだと思うけど。制作会社が完成責任を負った上で夜に放ったものを、特殊な操作一切なしで悪用できるのは報道に値する。
39
yuki🌾㊗️7さい🎉⚔ @yuki_obana 2021年5月18日
普通にGoogleフォームで作ったほうが安上がりの安定運用だよなぁと(´・ω・`)そこまで深刻な個人情報収載してるなら考えないとだけどそれを作り込むのならそもそもここまでおもちゃになるものは作らないし…
2
第7公園(ブランコ有り〼) @SiryouC 2021年5月18日
この前アパートで階段の踊り場がくさって抜け落ちた事象があったでしょ?あれ、後で同じ会社の建造物を調べたら相当数が同様に腐ってたらしいじゃない。それをメディアが調査して報告したら、会社に失礼だろって怒る?違うよね?
36
第7公園(ブランコ有り〼) @SiryouC 2021年5月18日
ダメなものをダメと検証と立証して報道することを批判するのは、報道そのものを弾圧する行為と何も変わらない。そんな批判が押し通るなら、どんな犯罪の手口も、汚職の実態も、事件現場も誰にも開かせなくなる。どんな事件も不祥事も、誰が読んで真似するかわからないのはちょっと考えればすぐに分かるでしょう?
51
否定騎士 @deknight440 2021年5月18日
この報道の問題は「興味本位の実験者=攻撃者が大量に出る」ということなんですよ。数百万人に報道することで0.1%=千人単位の「マジかよwww俺の誕生日でも行けるかやってみるwww」みたいな無邪気な攻撃者が大量に出る。企業の内部告発なんかとは全く種類が違う。
13
qwerty @Polynomialtime 2021年5月18日
こんな脆弱性というにもおこがましいゴミ税金で作って放置してるほうが百倍悪いに決まってるだろ…頭湧いてるんか
16
ゆり死ぃ @a88942740804 2021年5月18日
SiryouC まず脆弱性を見つけた場合、それを修正するようにサイト運営者やIPAに報告するのが一般的なフローになります。その上で、脆弱性が修正されるまで待ってから公開する。こうすることで発生する被害を最小限に留めることができます。
34
tomi:@GSR RC部、 @tommy_luv_TK 2021年5月18日
引き受けてからの期間が短そうなのは置いといて…かなりな中抜きキメてますねこれ
3
否定騎士 @deknight440 2021年5月18日
脆弱性を報道するなと言ってるんじゃなく、報道の仕方が極端に問題なんだよ。本来「〇〇という脆弱性がある」で済むところを具体的に「〇〇〇という数字で通った」「他に×××でも通った」「既にキャンセルしている(だから不問にしてね)」みたいな記事を数百万単位で拡散すると、絶対に興味本位で「じゃあ△△△は通るのかな?ww」みたいな輩を大量に生む。報道の影響を考えてない。
32
ggdxxdewuofunc @a_tts 2021年5月18日
SiryouC その検証方法が悪用されないものならね。 マンションの鍵に構造上の欠陥があって簡単にピッキングできたとして、欠陥の詳細ややり方まで報道すんなってのは当たり前でしょ
29
キセノン @doggukyatto 2021年5月18日
ほとんどどんな番号でも通るのに報道の仕方もへったくれも無いわw
3
qwerty @Polynomialtime 2021年5月18日
ピッキングとかいうレベルじゃなくてドアがついてない、部屋が全部つながっている、建築基準法違反というかそもそも建物が崩れているという感じの状況なんですがそれは
50
否定騎士 @deknight440 2021年5月18日
ハッキリ言って、「脆弱性を具体的に記述した上で大々的に報道する」なんて行為は、予約システムと同等かそれ以上にゴミだよ。みなさん攻撃しなさいって扇動してるのと変わらない。
20
qwerty @Polynomialtime 2021年5月18日
それを報道したら空き巣が入るだろ!って流石に馬鹿なんじゃないですかね。早く立入禁止にして別の建物立てろよ
23
ggdxxdewuofunc @a_tts 2021年5月18日
セキュリティがザルなのは非難されるべき と 攻撃方法を詳細に報道するのは非難されるべき は両立するっていうのがわからない人どれだけいるんですかね。
32
qwerty @Polynomialtime 2021年5月18日
だから攻撃方法とかじゃなくて「何もシステムが成立してない」って状況なんだけど脳がないの?
42
spin_out @spin_over 2021年5月18日
システムがクソというのはまあそのとおり。ただマスコミがいいたてているように今が緊急事態なんであれば、愉快犯が増えるような情報公表する前にそれこそ防衛庁に報告入れて、改善を待って報道しても良かったんじゃないの?
10
tibigame @tibigame 2021年5月18日
Nullさんがいなくてよかったな
0
月末も腓骨 @ribsleftrurs 2021年5月18日
「やっちゃダメでしょ!」としか言わない馬鹿はそれがシステムのガバさを免責するものではないって大前提で書いてんだよな?
27
mono @black_mono 2021年5月18日
システムがガバいのは間違いないが、そのガバさに関してもだいぶデマが含まれているようでひろみちゅ先生こと高木浩光氏が色々書いてるね。
9
mono @black_mono 2021年5月18日
そしてシステムのガバさは犯罪行為を免責するものではないことをわかっていない肋骨
37
just_away @just_awaympo 2021年5月18日
何で防衛省のメンツを国民が配慮してあげる必要があるんだよ。そもそもの発端は防衛省関係者からのタレコミだから、朝日や毎日が報じる前から防衛省は欠陥を把握してたってことだ。なのに改修を放置してたんだから、仮に直接指摘したところで無視されるだけだっての。
45
あたご @atatago 2021年5月18日
別に存在しない日で予約しようが、存在しない番号で予約しようが何の問題も無い。大事なのは自分が予約したと思った日時に接種会場に行くこと。その時に本人確認して65歳以上ならワクチン打つだけ。逐一エラー出して利用者が予約を諦めることが最も最悪。
7
業務用 @gyomu_yo 2021年5月18日
n_petton まあわざと言ってるんだと思うけど、だからこそ1年以上あった中で、大規模検査・接種の体制を整えるべきだったんだよね。ちゃんと大規模検査をしておけばそこで予行演習・問題洗い出しが出来るし、地域的な感染拡大も追えるし、個別対策に効果があったかとかも評価できるわけで。何でワクチン一発ホームラン路線取ったの?このザマで、って話で。
2
回れるように急ぐ @EBISU_DOU 2021年5月18日
持続化給付金の時にガバいぜヒャッハーしてた沖縄タイムスが面白いことになったように朝日毎日の構成員と乗っかったアホがおもちゃになるんですね_
4
シッズ〇@ゲーム専用垢 @shizzumaru 2021年5月18日
というか確実に出来ないんなら、インターネットからの登録諦めて最初からアナログ仕様で良かったじゃん 各家庭にはがき配って指定の日と時間に会場に来てもらう形で
15
cinefuk 🌀 @cinefuk 2021年5月18日
自治体から届いた封書に書かれたユニークIDを打ち間違えてもエラーを吐かずに登録完了(接種日の予約)できる仕組みで、老人が当日封筒を持って接種会場に赴いても「そのIDは予約されていません」と言われちゃう訳だよな。システムとして全く機能していないのに予約できるかのように嘘をついてる訳で、岸信夫氏は『マスゴミガー』とか言う前に、やるべき事あるんじゃないの? shizzumaru に同意。「情弱が作って、情弱が利用する仕組み」を作るべきなんだ。
25
業務用 @gyomu_yo 2021年5月18日
検査しなければ感染したことにはならない、よって感染拡大はしていない。公開しなければ問題があったことにはならない、よって問題ない。状況は我々の通達を信じ、現場で臨機応変に対処せよ。
4
mono @black_mono 2021年5月18日
例えば『「マイページ」がキャッシュを消すと二度と見れない』という指摘は明確に間違いとすでに指摘されてる。批判は必要だが、間違った論拠を元にした批判は信用できなくなるんだよな。そもそもの2ch書き込みにデマが混じってるから、それを論拠にした批判は全部デマに流されたノイズでしかない。
20
slips @techno_chombo 2021年5月18日
atatago もうそれ、そんなにガバガバでいいなら予約とか取らないで「接種券持ってる人は直接来て!」でも殆ど変わらないんじゃない?
3
mono @black_mono 2021年5月18日
しかしあのkameやcinefukに同意が集まってしまうくらいにこのコメント欄はデマに踊らされて混乱してしまっているな。人間は一度騙されると、騙されたことを認められなくて引き下がれなくなることがあるというが……
35
あたご @atatago 2021年5月18日
techno_chombo そんなルールにすると早朝から会場に長蛇の列ができ、時間の経過とともに列は長くなると思われ。
2
cocoon @cocoonP 2021年5月18日
システムがひどいのはそうなんだけど「だから好きなように遊んでいい」みたいな考えの人は逮捕されろと思います。なお本件にかんしてのひろみちゅせんせいの見解とそれに対するみんなの反応(これ本当にひろみちゅせんせいか?という)がおもしろかったw https://twitter.com/HiromitsuTakagi/status/1394497946796785664
30
なみへい @namihei_twit 2021年5月18日
???「で、その報道を誰が喜ぶの?その報道によって誰が得をするんだい?誰が利を得るのかな?」 
12
ぼたら @botarabotara 2021年5月18日
報道内容としては「杜撰なシステムによって何回も予約出来たり、正式な予約をしていても消されてしまう」とかで足りてる。 どうして攻撃方法をマスコミが公開しそれが真似される、ってのまで「こんなシステムなんで仕方ない」で擁護されているのか。 (無論、政権擁護や不祥事の火消しを謀っているわけじゃないんでそこはよろしく)
22
月末も腓骨 @ribsleftrurs 2021年5月18日
black_mono 犯罪の免責をしろなんてどこに書いてんだよ。 捏造しかできない馬鹿は黙ってろっつーのw
13
ぼたら @botarabotara 2021年5月18日
black_mono 加えてデマ情報まで信じ込まれてるのには困り果てる…こういう騒動には付き物だけども。 なんか、防衛省が揉み消そうとしてたとかいう真偽不明の情報がまことしやかに語られて政権批判に使われているようだ。ここのコメ欄でも。
20
cinefuk 🌀 @cinefuk 2021年5月18日
というか、防衛大臣は「マスゴミガー」言う前に「軍事組織に対しイタズラ仕掛ける奴はテロリストの疑いあるから、自宅・勤務先・実家・交友関係まで家宅捜査かけるからな」と脅しかける方が効果的だったのに
15
なみへい @namihei_twit 2021年5月18日
cocoonP 本当にひろみちゅ先生?(笑)ってなった。けど、巷の声の風向きに対して逆張りなトーン、と考えれば平常運転とも言える(かも)。一つ一つの言ってることは無理もなく間違ってもいないので、ちょっと冷静になれた。ありがとう先生!
1
よーぐる @Seto_yasu1987 2021年5月18日
防衛省といい厚労省といい、まともに外注発注できないような状態と言うことは、人材育成やら勤務状況やら根本的なとこから見直さなければならないのでは?とか思う
1
beigyiaa @beigyiaa 2021年5月18日
kuraki1122 全然違うのですが?sengokuのは政府が隠したから公開した話であり、今回のは隠したのですか?問題点のみを言えばよかっただけなのに手口を書いている時点で全然違いますから。
24
beigyiaa @beigyiaa 2021年5月18日
Polynomialtime だからといって入ったらダメなんですよね
11
酷道内調隊@ワクワクチンチン @tocch 2021年5月18日
穴があるから入れられても仕方がないとか猿の思考だからな。
8
ぼたら @botarabotara 2021年5月18日
beigyiaa >今回のは隠したのですか? 防衛省が握り潰そうとした kuraki1122 just_awaympo という初出が定かでない情報がもう事実として語られてる程なんで…どうもこういう政権に関連した批判は、批判する側の憶測やら偏向までさも実際の内容のように語られる。
13
kimuraお兄さん@小豆島 @nobuo_kimura 2021年5月18日
( ^H^)y-~~まあ、反体制パヨクの皆さんは低学歴底辺のネトウヨとちがって高学歴の優秀な人たちだから、犯罪で捕まる可能性の高い「いたずら」はしないだろうと思うんですけどねえ♪
7
ゆり死ぃ @a88942740804 2021年5月18日
Polynomialtime システムが成立していない、を公に報道することがそもそもマズイです。公にすることによってハッキング被害が拡大する可能性があるので。不具合があるので使用をやめておけ、と周知する程度ならばいいですが、具体的な攻撃方法を不具合修正前に公開するのは攻撃者に加担するも同然の行為です。
34
業務用 @gyomu_yo 2021年5月18日
そろそろ『総理はバカではない』と閣議決定しそうなコメント欄だな。
8
業務用 @gyomu_yo 2021年5月18日
とりあえずひろみっちゃんの結論(https://twitter.com/HiromitsuTakagi/status/1394534882626326534)『今回の報道が行なった検証行為は、「本来のワクチン接種を希望する65歳以上の方の接種機会を奪」うものには至っておらず、用いられた手段も適法なもの。上記のように、本件システムがこのような仕様となっている事実が、運営の現場と利用する国民に広く周知されることが必要。』
8
okwae @okwae858 2021年5月18日
kame4477 「システム繋ぐだけ」でみずほ銀行がどうなったかご存知ない?
25
𝔗𝔬𝔨𝔦𝔴𝔞🎓 @Zisleithanien 2021年5月18日
こういうザルシステムができちゃうのも、防疫が国防に直結してくるって発想が欠けてるところに起因してたりしないんですかね?
4
kame4477 @kame4477 2021年5月18日
okwae858 君、みずほが炎上しとるのは別々の銀行システムの統合が難しいからよ。つまり今回の防衛省と一緒で別々の自治体の予約システムにつなぐのが難しいから、カラ予約排除ができない仕様になっとるわけ。だから愛知県のように、この日は名古屋市の日って決めて、名古屋市のシステムそのまま利用すんの、次の日は小牧でその次の日が春日井って感じで、一日ごとに切り替えるから混乱しない。
3
kame4477 @kame4477 2021年5月18日
okwae858 要するに別々のシステムは別々に使えばいいの。そもそも国が市町村が接種主体だから市町村ごとに準備してやーって言ってたのを、後から国直轄で大規模接種やろうとするから炎上するんや。市町村を接種主体のままにして、国は場所と打ち手を市町村に提供して支援するというやり方が、整合性あるやり方なのに、官邸主導で現場も知らないバカが暴走した結果がこのありさまなの。
4
さかきみなと⛅榊鐵工 @syouth 2021年5月18日
うわぁ……これは本当に度し難い。(;´Д`)
1
slips @techno_chombo 2021年5月18日
atatago 「接種を実施してない日に予約できたってイイじゃないか」ってのとたいして変わりませんよ。
3
slips @techno_chombo 2021年5月18日
a88942740804 こんなにガバガバなら報道しなくたってバレるんじゃない?
7
ぴかっ太 @Pikatta 2021年5月18日
報道まではいいけど、それ試して遊んでる奴らは後でどうなるやら。謝っても許してもらえなさそう。
19
𝔚𝔦𝔫𝔡𝔶𝔪𝔢𝔩𝔱 (Scala) @windymelt 2021年5月18日
実際にSQLインジェクションかけてはいけないのは当然なのだが、それとは別の問題として、善意で済むなら警察は要らないんだよなあ。
2
椋木 @kuraki1122 2021年5月18日
beigyiaa あっちは違法行為なのに賞賛して、今回のは違法行為じゃないのに非難する人の気持ちはちょっとわからないです
14
オり @07199412 2021年5月18日
国相手にゴミ渡して金貰えるなんて羨ましすぎる
13
just_away @just_awaympo 2021年5月18日
a88942740804 こうやって公的機関の不手際を無理矢理擁護する臣民しぐさが国益にはいちばん害悪だわ。諸悪の根源はシステムが成立してないものを世に出してくる行政の側なのに、報道しなければバレなかったのにと開き直って報道機関に責任転嫁し行政のポカを許そうとする。最近この手のエクストリーム政権擁護が多すぎ。あと昨日報道されて大ごとになるまで防衛省はシステム修正する気はなかったんだから、不具合修正されるまで黙ってろつっても当の防衛省がやる気ないんだから、報道して修正の圧かけるしかないだろ
43
あたご @atatago 2021年5月18日
[c9133639] 「予約番号+生年月日」の方が「名前と住所」より遥かにシンプルでは?どうせ生年月日は予約番号のチェックデジット以上の意味はないだろうし。 接種会場にしてみれば接種時間帯に何人分ワクチンを用意すればいいかが必要なのであって、氏名や住所といった個人を特定する情報なんて不要と思うけど。
2
キャンプ中毒のドライさん(Drydog(乾)) @drydog_jp 2021年5月18日
cocoonP システム原理主義ではなく現在達成すべき目標そった対応を提示するあたり流石。 根本的改善は落ち着いた後にやるべきだろう
1
hts @ninomai2 2021年5月18日
atatago これは確かにその通りではありますが、だとすれば生年月日とかコードなどの入力もなくして単に会場と接種日時のみを入力させる方が良かったように思います。その上で接種日時の10分前ぐらいまでに予約会場に証明書持参で来てもらうという形の方が…。
3
キャンプ中毒のドライさん(Drydog(乾)) @drydog_jp 2021年5月18日
菅総理にセンスはないし、防衛省のIT音痴も問題だし、今回のシステムは穴だらけなのもたしかで改善は必要だが、「今は」その追求より現場に負担かけないで粛々と進められるのを最優先で考えるべき
4
hts @ninomai2 2021年5月18日
atatago 文章を↓のように訂正いたしました。結論から言えばどちらもいらないという方向に…。 『これは確かにその通りではありますが、だとすれば生年月日とかコードなどの入力もなくして単に会場と接種日時のみを入力させる方が良かったように思います。その上で接種日時の10分前ぐらいまでに予約会場に証明書持参で来てもらうという形の方が…。』
1
mlnkanljnm0 @kis_uzu 2021年5月18日
どうせネット民は3日もしないうちに飽きるからそっからが本番。
1
wbPQMyU @wbPQMyU1 2021年5月18日
既に入力された接種券番号は最初に入力された誕生日を一致させないと上書きできないみたい。入力されてなければ日付は出鱈目でも入れるね。'='1' OR False と入力すると403エラー返してくるからSQLインジェクションは多分デマ。SQL文が混ざるとWAFが弾く。
1
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2021年5月18日
black_mono ただ、今回みたいなケースって、間違いかどうか試せないじゃん?いや、試せる試せないで言えば試せるんだろうけど、試すと良くないよなぁって感覚は働くじゃん?
2
ゆり死ぃ @a88942740804 2021年5月18日
just_awaympo 読み違えてますが、私自身はシステムの擁護はしておらず批判的ですよ。今回の報道は意義のあるものだと思いますが、それ以上に修正を待たずに脆弱性と攻撃主張を告知する手法に問題がある、としか言ってないです。
15
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2021年5月18日
まあ、「今不具合の内容を大々的に公表する」のは社会的にはデメリットばかりでメリットを思いつけないってのはある。
6
業務用 @gyomu_yo 2021年5月18日
black_mono そういう設定なんだね。なるほど。
3
DEN @DD_DEN 2021年5月18日
BIRD_448 もうだいぶ話題が流れているので今更ではありますが、誤解があるようなので一応補足しておくと、別に対象外地域からの参入を想定しなくても23区内だけでもブッキングは発生します。接種券番号発番は市区町村自治体毎なので。
2
DEN @DD_DEN 2021年5月18日
接種券番号+生年月日の入力者特定は最低限しているのであれば既にされた予約を第三者が上書きキャンセルする事態は避けられそうですね。ただ、例えば大田区の人が間違って渋谷区のコード入れちゃったなんて場合に、接種券番号の発番形式が両区で似たような法則使ってると、その接種券番号握られちゃって本来の人が使えないなんて事は発生しそうですが。まぁその場合はこっちは諦めて自治体で受けてくれにするしか無いか
1
あたご @atatago 2021年5月18日
ninomai2 つまり予約の変更もキャンセルもできなくするべきと?そのうえ悪意を持った攻撃と、正当な利用の区別もつかなくするような方法をとるべきと?
0
hts @ninomai2 2021年5月18日
atatago なるほど、確認のためのフラグとして必要ではないかということですか…。納得いたしました。
0
あさり @RLpqcVOvrEf5RXb 2021年5月18日
家の鍵に例えてマスコミ叩くコメントが散見されるけど、それを言うならそもそも鍵をかけずに家を公開した防衛省がいちばんダメなのでは?
12
あたご @atatago 2021年5月18日
考えれば考えるほど必要十分に思えるんだよなぁ。まして契約から1週間(らしい)で本番リリースされたってのを勘案すれば及第点は遥かに超えてる。本来であれば自治体の仕事なのに無茶振りされた自衛隊がここまで不当な評価をされるのは本当に納得いかん。
2
Husetsu @husetsu126 2021年5月18日
影響力に天と地ほどの差があるとはいえ、こういうまとめ作るのも報道したメディアと同類の問題がある気が
0
hts @ninomai2 2021年5月18日
shizzumaru 私もそれでいいように思うんですよね。逆にアナログでダメな理由というのを教えて欲しいほどかと…。
3
占い羊 @wHozrPpLuqR09za 2021年5月18日
納期を延長してでも完璧なシステムを作れってことか。このご時世この案件でずいぶん悠長ですな
6
否定騎士 @deknight440 2021年5月18日
マスコミを叩くことを「政府の擁護」だと思ってる人、「政府への批判」と「マスコミへの批判」が両立するってことを受け入れられない人なんだろうな。アッチの方がダメだからコッチは許されるなんて話はしてないのに勝手に脳内で政府の手先だ—でフィルタしちゃう。
32
DEN @DD_DEN 2021年5月18日
ninomai2 オンラインで全て完結できるとスピードが圧倒的に違いますね。予約できる日程や数量の反映も早いですし決定も結果提示も早いです。大量印刷大量郵送にかかる期間がすっぽ抜けてる人が多い様に思いますが、昨年の10万給付の時に申込書の到着すらかなり遅かったりしたのみんな忘れたのかなと。
3
コン蔵 @konzopapata 2021年5月18日
deknight440 いやーそんなこともなく単に皆マスコミ嫌い政府嫌いの好みが透けて見えるから言い合ってるだけでしょ
2
@ninnniku_ 2021年5月18日
これって脆弱性なんて言葉で表していい案件なの?爺さん婆さんが入力間違っちゃっただけでも影響が出るようなものは流石に周知しないとマズいと思うんだけど。 Goggleとかの詐欺サイトの危険性は周知されるべきじゃん? 悪意のある攻撃されたら影響が出るものと、普通の人が使うだけで影響出るものは分けて考えたほうがいいんじゃないの? それとも入力ミスった一般人のこともいたずら扱いして逮捕するのが普通なの?それもうサイト自体が罠みたいなもんじゃん。
24
undo(あんどー) @tolucky774 2021年5月18日
この件ね、わかりやすくいうと、所定の10倍の量の薬を処方しろと処方箋に書かれているのに薬剤師がチェックを怠って、指示通りの処方をして、結果患者が重篤な副作用に見舞われたような状態なんですよ。いくら指示でもやっちゃいかんし、言い訳できないの。ミスでも許されないミスなんですよ
2
undo(あんどー) @tolucky774 2021年5月18日
マスコミが脆弱性を公表したことと、そもそもの仕様に致命的な脆弱性があることは別なのでどちらも悪いんやで
4
undo(あんどー) @tolucky774 2021年5月18日
軽度のミスで鬼のように叩くことは反対するけど、今回はあかん。重大事故だし
2
beigyiaa @beigyiaa 2021年5月18日
kuraki1122 sengokuのも今回のもどっちも違法行為ですよ?どちらも色々と前提すっ飛ばして書かず、もう少し整理してから書いて下さいね。
10
椋木 @kuraki1122 2021年5月18日
beigyiaa ではどこがなんの違法行為なんですか?誰も教えてくれなくて気になってたので
4
beigyiaa @beigyiaa 2021年5月18日
botarabotara 全然状況の異なる尖閣諸島の話を持ち出す時点でただ叩きたいだけで全く何も見えてないんだろうなーとは思ってます。
10
あ~れ~@甲甲甲甲乙 @31kt_Now 2021年5月18日
kuraki1122 普通にSQLインジェクションは不正アクセスだし、他人のシステムに虚偽情報を断りもなく掲載して業務を妨害したのなら電子計算機損壊等業務妨害罪だっての。
8
Cook⚡低浮上だけど元気です。 @CookDrake 2021年5月18日
凄まじいボロシステムだな。竹中、上手いのは中抜だけで、仕事は無能極まりないね。せめて納品物はまともな物を作れよ。
8
椋木 @kuraki1122 2021年5月18日
31kt_Now で、今回マスコミはSQLインジェクションしたんですか?あと業務妨害としても過去の判例参照するならセーフのようですけど?
4
業務用 @gyomu_yo 2021年5月18日
wHozrPpLuqR09za ざっくり可能か考えて無理そうだからそもそも令和おじさんが変な全国統一システムみたいなこと言い出さなきゃ良いんじゃないすかね。こんな状況なんだから実現可能な思い付きだけ口に出してくださいよ~。
4
なかず @h5YkVfIcMF4yTlN 2021年5月18日
マスコミが良くても一般人がやったら業務妨害ですからね。変に細かく報道しないほうがいいこともあります。特にネガティブで簡単に再現できるようなものは。 硫化水素自殺の報道をしまくって模倣自殺がクソほど増えたり、オレオレ詐欺の手口を事細かく報道して注意喚起したので模倣犯がボコボコ出てきましたね。
3
あ~れ~@甲甲甲甲乙 @31kt_Now 2021年5月18日
kuraki1122 お前が判断することじゃない。とっとと新世界で女口説いてろとしか。
6
太郎 @oyakodon_oniku 2021年5月18日
脆弱性がどうたらって書いてる人いるけどさ、朝日の報道ってサイトのフォームに指示通りのフォーマットで入力して登録しただけでサイトの脆弱性叩いたわけでなく予約システムの設計が不味いよねって話だよね? 少なくてもサイト自体に期待してる処理しかさせてないし。 あと意図的に間違った文字列入れて予約した分はキャンセルしたと書いてる。
24
業務用 @gyomu_yo 2021年5月18日
最近のkameちゃんまとめじゃ珍しいくらいしょーもないコメント大量についてるけど、歴史をメイキングする指令でも出たんですかね。
4
有希.猫源反応 @ayano_fox 2021年5月18日
oyakodon_oniku oシステムの設計はまずい o手順の公開もまずい 珍しく正しくどっちもどっち
8
undo(あんどー) @tolucky774 2021年5月18日
マスコミがやってることは、他人ちの玄関のドアが開いてるから入っちゃって写真撮りましたとか、向かいのマンションのお姉さんがカーテン閉めずに着替えしてておっぱい丸見えなんで、撮影してマンション名まで公開しちゃいましたというようなことですよ。被害者に落ち度があっても、やったらいけないことなんで。それとこれとは別
12
太郎 @oyakodon_oniku 2021年5月18日
詳しい人がいたら教えて欲しいのですが、Webサイトやサーバーの脆弱性などは手順を公にせず然るべき場所に通報するってのは知ってますけど、報道された内容だけで言えば運用の問題かと思いますがこういうのを通報する窓口とかそういう類ってあるんですか? あと鍵に例えたりしてますけどこれセキュアな話じゃないですよね?
8
\(TOT)/ @shibanasu14 2021年5月18日
既存アプリやネットにあるものを流用する場合、対策をしないソースを書く方が逆に面倒くさいから SQLインジェクション対策が出来ていないというのはフェイクか 事実ならわざとSQLインジェクションができるように作っている奴がいると思った
0
やって後悔よりやらない選択 @Negative_IsGood 2021年5月18日
ねぇねぇ「不具合は後で修正すればいいから形にして早くリリースする」んだからこれでもいいんじゃないんでしたっけ? まったくhttps://togetter.com/li/1658192 以下の出来だと思いますけど。 #要は不良品だろ
0
undo(あんどー) @tolucky774 2021年5月18日
マスコミのサイトで脆弱性を見つけても大々的に公表していいのね?よし!
11
kame4477 @kame4477 2021年5月18日
tolucky774 そもそも脆弱性を見っけてもすぐ公開しない方がいいって一般論は、例えばエンジニアがたまたまウェブサービスの脆弱性を見つけた場合を想定しとるわけで、今回のように防衛省内からの内部告発で、素人の記者でも容易に再現可能な仕様(脆弱性?)を報道することを想定しとるわけじゃないからな。別に君が公益性があると考えるなら勝手に君の責任で公表したらいい。
19
kame4477 @kame4477 2021年5月18日
tolucky774 脆弱性の公表云々はその方が公益に資するという前提があるわけで、今回の件が報道されることが、公益に資するのかどうかが論点。毎日は立場を明確にしているし、一般論だけで反論するのではなく、個別具体的にマスコミの行為が公益的でないと思うならそのように指摘すればよい。/防衛相、架空入力に抗議 本社「公益性あると判断」 https://mainichi.jp/articles/20210518/k00/00m/040/313000c
4
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2021年5月18日
違法かどうかは法律に沿って判断されるべきことであって誰かの感情で決まることではない。なお、裁判官の心証
3
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2021年5月18日
その上で、よほど明確なものでなければ、専門家じゃない人間が軽々しく「違法である」と決めつけるのはどうかと思うよ。
7
とう子 @toko0022 2021年5月18日
今遊んでる連中は全員逮捕でいいだろ
1
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2021年5月18日
これ、「内部告発があった」ってのがよくわからんのよね。普通に組織内で問題として挙げれない理由があった?
5
Nicholai MARO @MAROCKs 2021年5月18日
namigondqx 日本人で玩具にするのは不逞の輩だけれど、kame4477 の指摘するように、日本人向けのワクチンが無駄に廃棄される事態を歓迎する人たちはいる。戦時からニュースになっている「米国の石油パイプラインを止めた人たち」や「日本の官公庁や企業にサイバー攻撃をしている人たち」に非常時の倫理感を求めてもそりゃ駄目でしょう。
6
kame4477 @kame4477 2021年5月18日
dokuman3 時事の報道で「防衛省はこうした不備を事前に知っていたが、「7月末までの高齢者接種完了」が至上命令となる中、動作チェックなどに時間をかけられないことから改修を見送ったという。同省幹部は「限られた時間の中での最適解だった」と説明した。」https://www.jiji.com/jc/article?k=2021051801022&g=soc
10
kame4477 @kame4477 2021年5月18日
dokuman3 2つをつなげると、防衛省内でもカラ予約の件は問題化したけど意図的に回収を見送ったから、内部告発されたって流れね。これに対してまず脆弱性は製造元に連絡が・・・というのはズレとると私は思いますよ。
20
キケリキー @KIKERIKI17 2021年5月18日
しかし、この話のお粗末さは、全国自治体がばらばらに準備して、その資金を国が助成することよな。「車輪の再発明」ここに極まれりって感じ。徳島市の予約システムとかシンプルでよさそう。sciseedって会社のシステムだな、フォルダが自治体名。ほかにも予約システム運営会社のシステム(https://vaccine.reserva.be/)とかもあるっぽい、戸田はresv.jp、こういうのこそ、国がまとめて提供しろよって思うよね。
1
めくり たまえ @zedlix 2021年5月18日
「不正アクセスは国の威信をかけて全員逮捕する」とか言われて中村格あたりがやる気を出し、正規に予約しただけのじいさんとか、偽装登録で名前を使われただけのオッサンとかが次々にパクられるイベントが実現しそう
6
goodmoon @goodmoon 2021年5月18日
a88942740804 昨日の段階では改修不能とコメントされてましたが、ずっと隠したいという意志表示だったんですかね。
1
業務用 @gyomu_yo 2021年5月18日
COCOAの例がある中で、計画見るだに現状のプランでは無理のある7月までに完了作戦の要と思しきクソシステムの問題点を粛々と然るべき脆弱性窓口にご報告申し上げてた場合のシナリオは、現場の混乱の中で何故かスピーディーなシステム構築は問題なくうまく行ったことになりつつ、システム由来の現場問題の多くが『ジジィがボケてて予約ミスってたんだろ、そんなバカはワクチン接種できなくて当然だ!』みたいなクソな叩きに消費されてたとしか思えん。
18
キケリキー @KIKERIKI17 2021年5月18日
SQLインジェクションに擁護の余地はないが、たとえ話としてなら「郊外の無人販売所」とか「無料食堂」かね。善意が前提で馬鹿に見つかったら維持できないシステム。狭い中でしか成立せず、やっつけの社内イントラとかでありがちだが、これも馬鹿がやらかすとシステムの所為にされる。
2
あ~れ~@甲甲甲甲乙 @31kt_Now 2021年5月18日
kame4477 内部告発するのならIPAか防衛省の公益通報窓口に連絡すりゃいいんちゃうの?今回のように手口を流布するなとIPAが声明出してる。https://www.itmedia.co.jp/news/articles/2105/18/news145.html
15
kame4477 @kame4477 2021年5月18日
31kt_Now 君が内部告発するときはそういうところにしたらいいんじゃないの?どこに告発するかは当人の責任で判断すべきやろ。あとその記事中にも書いてあるけど、「架空予約がセキュリティ上の欠陥を突いているかは議論の余地があります」とあるとおり、そもそもシステムの脆弱性というよりは意図的な仕様 kame4477 と解釈する方が、時事の報道からしては合理的だよ。
13
ランゲボルグ @LANGEBORG_LOVE 2021年5月18日
問・今回の時事通信社の報道内容が全て正しいことを証明しなさい
3
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2021年5月18日
kame4477 発表されて困るレベルの不具合なら対応しなきゃだめだと思うなぁ
6
kame4477 @kame4477 2021年5月18日
gyomu_yo まあ報道されずにそのまま大規模接種当日を迎えて、入力間違いやカラ予約等で現場が大混乱が一番良くないので、防衛省が国民に説明する気ないなら報道で周知するのが公益にかなうという話になるね。
5
kame4477 @kame4477 2021年5月18日
dokuman3 時間なくて割り切った仕様なら、そういう仕様ですでもスピード重視なんですご理解くださいってちゃんと説明すべきなんよね。それを隠すから内部告発される。接種遅らせてちゃんと直すか、そのまま走る代わりに国民に説明するかの2択を選ぶべきが、隠して走って内部告発のクソ対応。
15
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2021年5月18日
kame4477 そうそう。時間がないので一旦公開した上で、順次直しますとかもっといいやり方はあったんじゃないかとは思う。
7
あ~れ~@甲甲甲甲乙 @31kt_Now 2021年5月19日
kame4477 ???どこに内部通報するのが自由で当人の責任なら一番世間に迷惑がかかる方法を選んだ当人とその共犯者(朝日・毎日・日経・共同など)が世間から非難されるのは当然でしょうに。
11
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2021年5月19日
一番世間に迷惑がかかるのは、わかってる不具合を報知しないことじゃないかな。日付とか間違った値でも入力されてしまうので気をつけてくださいとか言っとかなきゃだめだと思うのよ。
10
あ~れ~@甲甲甲甲乙 @31kt_Now 2021年5月19日
一番悪いのは不具合の情報をネット上にまき散らすことです。IPAも声明を出してます。言ってることがおかしいです。あなたはIPAよりも情報通信技術に詳しい方ですか?
5
あたご @atatago 2021年5月19日
無人販売所の例えが適切な感じ、不備でも不具合でもなく、悪意を持った人であれば誰でも攻撃することができるという「仕様」。これをマスコミが「なんとこの店は無人なので誰でも万引きし放題です!」って広報しちゃったので万引き犯が殺到したという。
3
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2021年5月19日
IPAの「一番悪いのは不具合の情報をネット上にまき散らすこと」と言ってる声明ってどれだろ?
6
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2021年5月19日
atatago 別に「なんとこの店は無人なので誰でも万引きし放題です!」って言ってないのでは?万引きができてしまうのと万引し放題は違うと思うがなぁ。
5
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2021年5月19日
Qエロ漫画をもとに性犯罪を犯したり、報道をもとに犯罪を犯したとき悪いのは誰ですか?
3
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2021年5月19日
他人が勝手にキャンセルできる仕様、知られてないと勝手にキャンセルされた人が出てきたとき、「あなたがキャンセルしたんでしょ?」と言われかねないからなぁ。
5
ゆーき @yuki073 2021年5月19日
自治体の発行系システムのと連携が不可能だから、誤入力はシステムじゃなくて運用側でカバーする方針で決まっただけでしょう。何で「システムで対処しない」=「何もしない」と認識するバカが出るんだ?
5
あ~れ~@甲甲甲甲乙 @31kt_Now 2021年5月19日
dokuman3 『このためIPAは「発見時は開発者に報告し、極秘事項にすること」とし、「報告せずに、脆弱性の存在をネット上にいきなり公開することは絶対に行ってはいけない」』←これが読めない人いるの?
8
うさが @Unlimited_SaGa 2021年5月19日
black_mono ですね。中身に全く関係のないアベガーをこれ幸いと喚いてるだけなのに。cinefuk氏(なんて読むんだろう、ちねフク?)は最近見ませんでしたが、悪意を発散できるネタを見つけて狂気満面と言った様子。表向き批判してるっぽいけど、駄目なところが見つかってむしろ嬉しそうなんですよね。
2
undo(あんどー) @tolucky774 2021年5月19日
kame4477 あの、嫌味で言ってるんですけどw
3
太郎 @oyakodon_oniku 2021年5月19日
itmediaの記事に関しては修正入ってますね。 【修正履歴:2021年5月18日午後11時5分 記事初出時、架空予約できることのみが「脆弱性」としていましたが、同手法がセキュリティ上の欠陥を突いているかは議論の余地があります。本件に関しては「SQLインジェクション」などの攻撃が可能という情報もあることから、タイトルと本文の表現を修正しました。】
8
RGB000 @19666_61 2021年5月19日
方や識別番号の仕様時点で詰んでるのにクソを重ねたようなカスシステム、方やその欠陥の再現方法をご丁寧に解説し全国ネットに流すカスメディア、IT後進国の誹りもしゃあなし
3
出かける時は忘れずにカードマンꐕ @Puttanesca49 2021年5月19日
31kt_Now 他の人が既に述べてるように、AERAにタレコミがあった時点で内部では報告済みなんだよね でも是正されてないわけで、防衛省の自浄力に期待するのは無理でしょ ぐうの音も出ない現実突きつけないと 国民はいざ知らず第三国のハッカーはとっくに把握しているし攻撃しない理由もないし
20
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2021年5月19日
31kt_Now 「発見時は開発者に報告し」でこのサイトを検索したらあなたの書き込みだけが見つかった。
8
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2021年5月19日
https://news.biglobe.ne.jp/it/0518/imn_210518_1581567793.html これかな。んで、これだと「何を質問して得られた回答なのか」が書かれてないのね。これが防衛省の認識通りの仕様であれば脆弱性じゃないし、内部告発されているところから防衛省葉」把握済みであるが直す気はないというのがわかるわけだが。
6
RGB000 @19666_61 2021年5月19日
システム公開1日経ったかそこらでゼロデイ脆弱性公開、普通にやばいんだよな。せっかちなGoogleも一週間くらいは待つ
3
ゆきやけ @yukiyake_ 2021年5月19日
マスコミにリークした方が本当にいたとして、あんまり後先考えられるタイプの人ではなかったんだろうなあとは思うわ
4
RGB000 @19666_61 2021年5月19日
さて、ここでIPAの脆弱性発見・報告のみちしるべを見ていただきましょうか... https://youtu.be/ZQnR3jJIHeI?t=296
3
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2021年5月19日
結局、「一番悪いのは不具合の情報をネット上にまき散らすこと」もIPAが言ってたわけじゃなくて彼が勝手に意訳してただけっぽいな。
12
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2021年5月19日
彼の国では「望ましくない」は「一番悪い」という意味なのかもしれないが、日本語だと違うんだよね。
10
よもぎ@鰤嫌い好き @cataildragger 2021年5月19日
kaneganainara 国の保健行政の巨額を投資した一大イベントがこれということは政府と関わりの深い業者がこのレベルということ?いくらデジタル庁創設しても、国全体の情報化推進どころか、デジタル庁そのものがダメダメになるのでは?
5
月末も腓骨 @ribsleftrurs 2021年5月19日
deknight440 普段の言動がそうだから仕方ない
4
月末も腓骨 @ribsleftrurs 2021年5月19日
31kt_Now 無理筋擁護はもう諦めろ。 到底防衛など任せられないヘッポコの鎮守府クンで笑うw
16
あ~れ~@甲甲甲甲乙 @31kt_Now 2021年5月19日
ribsleftrurs しかしコメントいいねの数は残酷(俺:6,肋骨:0)である(失笑)
3
kame4477 @kame4477 2021年5月19日
31kt_Now いいねの数でマウントとっても仕方ないけどな。ちなみ仮にいいねの数が多い方が正しい(そんなわけないけどなw)とすると、脆弱性関連でいいねが多いのはこういうのだから、 oyakodon_oniku ninnniku_ kame4477 君の負けってことでいいんじゃないのかな。
15
月末も腓骨 @ribsleftrurs 2021年5月19日
31kt_Now おまえ民主主義が正しさの担保だと勘違いしてるタイプだろ。 衆愚って知ってるか? 間抜けは何やらしてもダメだな。
17
あ~れ~@甲甲甲甲乙 @31kt_Now 2021年5月19日
ribsleftrurs お前は「衆」すらない「愚」だろうがよw
8
system.exit() @192_168_0_100 2021年5月19日
Bunga_Snail そうですね…プライベートウィンドウならばともかく、毎回Cookieを削除する設定のブラウザを使っている人であれば対応できるリテラシーはあるだろうというのは十分に考えられますね。 冷静さを欠いていました。
0
system.exit() @192_168_0_100 2021年5月19日
また、ツリー元のCookieが消えるとマイページに入れなくなるという事象は他の方の検証によりデマである可能性が非常に高いようです。(あるいは100%デマ)デマに対してコメントした件につきましては撤回します。申し訳ありませんでした。(損害賠償請求を容認する意味ではない)
2
マスクドとくがわ(モデルナ第二形態) @psymaris 2021年5月19日
家に鍵がかかってなくても不法侵入したら犯罪やろ。さらに「この家鍵かかってないぞ!」って不特定多数に言うなや。そういうことでは?
11
マスクドとくがわ(モデルナ第二形態) @psymaris 2021年5月19日
それはそれとして家に鍵がかかってない、というか鍵風の何かがついててまともに機能してないのは業者の責任
4
spin_out @spin_over 2021年5月19日
これ内部告発があったとしても、官公庁との契約の仕方考えれば、請負した会社の問題だろうな。最終的な監督責任はもちろん発注者にあるにせよ、このレベルのセキュリティホール放置した請負は次から入札外されんじゃね?
3
spin_out @spin_over 2021年5月19日
政権の責任論もいいけど、官公庁に食い込んでる民間のシステム開発がこの程度のものを納品してしまうレベルになってしまったってことのほうが問題だよなぁ。
1
spin_out @spin_over 2021年5月19日
ぶっちゃけ、自治体が独自に開発しているシステムなんて、IFからDBから下手すりゃWEBシステムになってなくて未だにクラサバのVBとかDelphi生き残ってる場合もあるのに、簡単に連携とかできるわけがない。なので、自治体との連携は考えずに、無駄が発生してもとらえず数をこなすという思想じゃなきゃうまく行かなかったかもね。簡単にDB連携とかデータ連携とか言ってるが、サーバーの場所もネットワークもつながってない可能性あるものと連携なんてできるわけ無いだろう。
1