2021年5月18日

不正アクセス禁止法違反になる?ワクチン大規模接種の予約システムでのSQLインジェクションの存在を合法的に確認することは難しいという話

163
まとめ 【悲報】防衛省のワクチン予約システム 早速ネット民のおもちゃに「SQLインジェクションできる」「同じ番号入れるとその.. あーあ なお本当におもちゃにした場合は犯罪になりますので、くれぐれも笑って楽しむだけにしましょう。 346502 pv 6912 1171 users 1654
Shoko @_okohs

公共のシステムにSQLインジェクションしちゃうような人は技術者倫理欠けてるので読んでほしい。IPA試験の法律周りの出典にもなってるものです。 // 技術士倫理綱領 engineer.or.jp/c_topics/000/0… pic.twitter.com/ZMWe4BI4NK

2021-05-18 10:25:35
拡大
徳丸 浩 @ockeghem

SQLインジェクションできるとか本当ですかね。外部者が合法的に確かめるのは難しいと思いますが…

2021-05-18 09:57:08
徳丸 浩 @ockeghem

付け加えると、更新系処理のSQLインジェクションを「安全に」確認することも難しいです。試している人は「正義のため」という意識でやっているかもしれませんが、本番データ壊したら「正義」どころではないですからね twitter.com/ockeghem/statu…

2021-05-18 10:25:23
守銭童子 @syusen_douji

「外部者が合法的に確かめるのは難しい」これ重要。 安直に外部の者が確かめようとすると違法行為になるっての。 しかしSQLインジェクションって言葉を目にしたの久しぶり。 twitter.com/ockeghem/statu…

2021-05-18 10:13:38
よんてんごP @yontengoP

SQLインジェクションの件、 一部では「いやさすがにガセでは」「2ch(現5ch)がソースじゃ信用できんわ…」って話になってるけど 「できらぁっ!!」って誰かが試すと即ギルティ案件なので、誰も試せずに「多分嘘だろ」「きっと本当では」つってるの シュレディンガーのインジェクション感があるな🤔 twitter.com/yontengoP/stat…

2021-05-18 10:39:10
たままる@”鍛冶屋ではじめる異世界スローライフ”小説1~4巻コミック1巻発売中! @tamamaru

「SQLインジェクションなどを不正手段であると知りつつ実行した場合」は法に抵触する(不正アクセス禁止法)ので、マジでやらんようにね

2021-05-18 09:59:32
麹@引き続き勉強垢 @oryzae1824

防衛省ワクチン予約の件、SQLインジェクション等を一般人がイタズラ半分にやると、普通に犯罪です。防衛省相手にサイバー攻撃とか冗談にもならないので気をつけましょう。 pic.twitter.com/qSdnjkrpmB

2021-05-18 08:46:38
拡大
拡大
あかあお🇫🇷 @aka_ao_kiiro_02

警視庁のホームページでsqlインジェクションを利用した不正なアスセスは捕まるよって言ってるので遊び半分でアクセスしたらあかん npa.go.jp/hakusyo/h18/ho… pic.twitter.com/rG1yLBDHUi

2021-05-18 09:16:45
拡大
拡大
Haruhiko Okumura @h_okumura

「他人の識別符号を入力」すれば不正アクセスだが,存在しないでたらめを入れるのは不正アクセスにならないんだろう,しらんけど twitter.com/nagataki/statu…

2021-05-17 19:48:52
Hiromitsu Takagi @HiromitsuTakagi

自宅(テレワークを除く)研究員 blog@takagi-hiromitsu.jp

takagi-hiromitsu.jp

Hiromitsu Takagi @HiromitsuTakagi

これはしょうがない。緊急時なのだし(情報漏洩が起きるわけでない限り)このままいくしかない。ただ、こういう事実があることは周知されていた方がよい。 dot.asahi.com/dot/2021051700…

2021-05-17 23:02:01
Hiromitsu Takagi @HiromitsuTakagi

識別符号(アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号≒パスワード)がないので、不正アクセス禁止法が禁ずる行為には当たらないが、虚偽内容で予約するのは、人の事務処理を誤らせる目的で行えば電磁的記録不正作出・供用罪。 twitter.com/yasushia/statu…

2021-05-17 23:05:37
Hiromitsu Takagi @HiromitsuTakagi

不正アクセス禁止法違反行為の場合は、新聞報道であろうとも事実確認のため他人のパスワードでログインした時点で罪を構成する(かつての遠隔操作事件での書類送検事案あり)が、電磁的記録不正作出供用罪の場合は、キャンセルしたならば、人の事務処理を誤らせる目的があったことにはならないだろう。

2021-05-17 23:08:07
Hiromitsu Takagi @HiromitsuTakagi

予約のある人なのかはどうせ現場で目視確認するのだから、入力ミスによる予約であることはどうにか判断できそう(いや、確実に確認しないで進めちゃっていいだろう)か。こういうことが起き得るシステムだということは周知されていた方がよい。 twitter.com/takoratta/stat…

2021-05-17 23:15:12
Hiromitsu Takagi @HiromitsuTakagi

接種券と予約方式の設計を1年前からやっておくべきだったということでしょうね。 twitter.com/Ichiro_leadoff…

2021-05-18 09:30:47
Haruhiko Okumura @h_okumura

転載はご自由に(CC BY)。勤務時間中のツイートはボットの仕業です。

oku.edu.mie-u.ac.jp/~okumura/

Haruhiko Okumura @h_okumura

チェックするには,各自治体から接種券番号・生年月日のリストをもらわなければならないが,個人情報保護条例か何かでデータを防衛省に渡せないなら,「システム改修は困難」は嘘ではないのかも

2021-05-17 22:35:52
Haruhiko Okumura @h_okumura

きっと処理を軽くするために受付時にチェックせず,非同期のプロセスで後でチェックして落とすのだろう(いま作り込んでいるところかもしれない)

2021-05-17 19:44:49
Haruhiko Okumura @h_okumura

↑という助け舟を出したのに,防衛省は「システム改修は困難」と言ってしまった

2021-05-17 20:07:57
Dan Kogai @dankogai

@h_okumura 接種券番号が出鱈目でも会場で現物チェックすればいい(まあ接種券偽造もあり得なくはないけど)のでそこは多めに見るとしても、自治体コードと生年月日のチェックぐらいは後付けでも行けるはずなのだけど

2021-05-18 05:55:57
Hiromitsu Takagi @HiromitsuTakagi

出鱈目。個人情報保護法制の公的部門のルール(地方公共団体の条例を含む)は、目的内の提供を制限していない。 twitter.com/h_okumura/stat…

2021-05-18 09:36:05
残りを読む(6)

コメント

aioi_au @aioi_au 2021年5月18日
「3Dプリンタで作った銃のデータがネット上にありました。銃刀法違反になるレベルで殺傷能力があるか作って人を撃ったら死んだので殺傷能力はあります、URLはここでこう作れば人を殺せます、このサイトを作ったのは悪いやつですねー」ぐらいヤバいことやってるよな。
177
okwae @okwae858 2021年5月18日
マイナンバー使ったら使ったでnoteの有効クレカ探しみたいなことができちゃうシステムになる可能性があるのか…というかまずそうなりそうだな
42
五月 @xf52_523 2021年5月18日
よくまあ犯罪者になるかもしれないことを堂々とやるなあ……と思ったが、そこまで考えてないだけか。
91
ゆきやけ @yukiyake_ 2021年5月18日
不正アクセスよりは業務妨害の方が可能性はあるでしょうね そこまでするような人間が出てきたらね
78
beigyiaa @beigyiaa 2021年5月18日
不正アクセス禁止法は多分グレーだけど、威力業務妨害もしくはその教唆にはガッツリ当てはまる案件かな。 マスコミが5chみたいなノリで暴露してるのはリテラシーが無さすぎる(元々無いか)
155
LCO @f_lco 2021年5月18日
最近は知らんけど 一昔前の2chだとこういう時「専門板系」は比較的倫理観高く「やったら多分一発で通るけど、実際やったら法的にヤベーからシュレディンガーの猫状態」で様子見になり 「ニュース板系」で倫理観もクソも無い奴が突撃して情報アップするのを待つ状態になる なお、専門板でも「○○って打てば確認できるんだけどなー(チラチラ」みたいな幇助系のクソ野郎は発生する
107
ハドロン @hadoron1203 2021年5月18日
そーなんだよな。下手にアクセス制限かけてしまうと、逆に接種券番号と個人情報を紐付けるツールとして利用されてしまう。マイナンバーと生年月日が他者に知られるのも絶対に避けなきゃならん。
62
petton @n_petton 2021年5月18日
まあパスワードをちゃんと管理しているか確かめるためとかいう理由つけて垢ハックやるやつはもう犯罪者だもんな
92
ふじぽんぽん @hirofujiponpon 2021年5月18日
生半可な知識でSQLインジェクションがーって喚く自称ITおじさんを炙りだす機会になるのかな?
30
uroboros🌯 @code_uroboros 2021年5月18日
騒動になると以前からこうしておけばの後出し孔明でてくるんだなぁ
82
K3@FGO残6.7 @K3flick 2021年5月18日
何で引っかかるかわかったもんじゃないので、〇〇じゃないからセーフみたいなのは信じない方が良い。
33
枯れた雑草ワクチン推奨派 @sPEr54fuQYqCh3A 2021年5月18日
毎日新聞のリテラシーの無さに驚く。 結局アンチワクチンなんだよね、判断も行動の基準も。 国民を害したくて仕方ない。
88
yuki🌾㊗️6さい🎉⚔ @yuki_obana 2021年5月18日
まさか通るとは思っていなかった、◯すつもりはなかったなどと供述しており(´・ω・`)
39
nanako1210 @nanako12102 2021年5月18日
f_lco 棘にも「試してみたらできちゃったんだけど俺も逮捕されるの?」みたいなコメントしてたの見たけど、そういうふうに何も考えずにやっちゃう奴はいるんだろうな… 一〜二回試しにやってみたとかならともかく、調子に乗って二桁〜三桁とかやらかしてるのがいたら見せしめ逮捕されそう 幇助系クソ野郎に乗せられちゃった人可哀想…と一瞬思いかけたけど、よく考えなくても可哀想でもなんでもねーな
72
nanako1210 @nanako12102 2021年5月18日
nanako12102 ただ、新聞という影響力の大きさも考えて、今回逮捕者が出たら教唆として一緒に罪に問われてほしいわ
88
ggdxxdewuofunc @a_tts 2021年5月18日
危ない橋は避けるに限る。ガチの悪意持った奴にやばいSQL流されて困るのは開発元と発注元だけなんだから、SQLインジェクション食らって右往左往する様を眺めてりゃいいだけ。
1
Bunga_Snail @Bunga_Snail 2021年5月18日
code_uroboros 後出し孔明っていうのかぁ、言い得て妙だな。素晴らしい命名。 あぁしろこうしろってツイッターで騒ぐなら中の人になって世の中の役に立つ側に行けよって思うよ。
14
フトシ @hutoshi_P 2021年5月18日
a_tts 個人情報抜かれる可能性もあるのがSQLインジェクションなんでそれはちょっと違うかな
1
犬の茶碗蒸し @Inuchawan 2021年5月18日
これを犯罪だとか言うの、例のブラクラ張った中学生をしょっぴいた警察レベルのおかしな判断なんじゃないの…?
9
ggdxxdewuofunc @a_tts 2021年5月18日
hutoshi_P そのために逮捕されるリスク負ってまで自分で攻撃する必要はないでしょっていうのが私の意見です
2
ggdxxdewuofunc @a_tts 2021年5月18日
Inuchawan ブラクラは現代的なブラウザ使ってれば何も壊すことも情報を盗むこともありませんがSQLインジェクションは両方できますからね。
65
フトシ @hutoshi_P 2021年5月18日
a_tts 基本同意なんだけど個人情報提供者が一番困る対象だからこういうのは気を付けなきゃあかんよって思う 誰も合法的に確認出来ないから話半分だけど
3
うおどむ@付藻屑教 @walkingdome 2021年5月18日
フィクションだったらここを起点に防衛省のネットワーク中枢を支配してミサイル発射5秒前になるところだった。
4
SAKURA87@多摩丁督 @Sakura87_net 2021年5月18日
Inuchawan 技術的に出来るということが分かっても実際に仕組んじゃうと犯罪っていう奴だからな。例えばコナンの殺人トリックをいくら書いても青山先生が逮捕されることはないが、それを模倣して実際にやっちゃうとその人は当然逮捕されるよね。
106
SAKURA87@多摩丁督 @Sakura87_net 2021年5月18日
この場合もしそう言うことが可能な実装を見つけてしまったら、誰にも話さずに運営に確認するのがいいんじゃないかな。
66
tacosun @kagami4432 2021年5月18日
Sakura87_net コメ欄の最初にあるけど 実際に3Dプリンターを使った銃の製造は捕まったしな
58
月末も腓骨 @ribsleftrurs 2021年5月18日
外部チェックを働かせられないゴミ法律。 これが変わらない限り行政の大半がまともなシステムを展開することなど不可能。
9
PUNTE @PUNTEdog 2021年5月18日
会社のシステムにSQLインジェクション攻撃して怒られた新人がいたわ。 アクセスログ取ってるからすぐ足つくのにねぇ。
1
うまおい @umaoi 2021年5月18日
病院の順番待ちの発券機を大規模なオンラインシステムにしたみたいなもんだろうし、モデルナなら多少誤差があっても無駄にはならないし、時間がない中、自分が発注者だったらこの設計でGO出すかもしれんな。
7
ダアト @FDaato 2021年5月18日
Inuchawan SQLインジェクションの説明には取ってくること(select)しか書いてないけど 破棄(drop)も出来るのでシステムそのものを壊すことが可能
42
cinefuk 🌀 @cinefuk 2021年5月18日
『クジラックスのポルノに影響を受けて幼女誘拐した奴がいたので、エロ漫画家は #幇助犯 として逮捕されるべきか?(Y/N)』
5
金目の煮付 @kinmenitsuke 2021年5月18日
問題は「誤って入力しました」というのと裁判で区別がつけられるかってところでしょうね。「別のプログラムを組んでいたのでたまたまテーブル名やカラム名が一致しているクリップボードの構文をコピペしちゃいました」って言ったら専門家はどう判断するのかしら。
2
あーる @xxxk_ac 2021年5月18日
広めたのが朝日でほんとよかったと思うわ 朝日サンドバッグにして官側は面子保てるからね 先にクラッカーに悪用されてたらと思うとこえーわ…
31
lion @lion55571 2021年5月18日
出来るからやりました。だとその辺のクラッカーとあんまり変わらんぞ。
41
lion @lion55571 2021年5月18日
cinefuk この件でシステムを作った所が罪に問われるかという話をしてるの?そんな話してたっけ?
57
ティ @chiss_n 2021年5月18日
粛々と実刑にぶちこんでいけばいいと思う
38
cinefuk 🌀 @cinefuk 2021年5月18日
cinefuk lion55571 岸大臣のTweet https://t.co/O5E8ErM6Uo を発端に「朝日新聞と毎日新聞を不正アクセス幇助犯として罰するべき」と騒いでいる人がいるのです
2
LCO @f_lco 2021年5月18日
kinmenitsuke 「1回ぐらいなら誤射かも知れない」じゃないけど、悪質性が無いと判断された人は「厳密にはアウトだけど実質罪には問われないのでセーフ」ってのが相場だと思うけど たった1回でもたまたまヤベー文字列流して実際にぶっ壊しちゃいましたって場合は、本当に偶発事故だとしても実際に壊れた点に重きを置いて「過失」で罪に問われる気がする
11
mk @M_K_1983 2021年5月18日
窓の鍵が壊れていたからと言って無断侵入していいわけではないし、ましてや、壊れてて入りたい放題だぞー、と言いふらす奴は同罪だと思う。 ちゃんと直しておけというのは別の話。
105
lion @lion55571 2021年5月18日
cinefuk なるほど。不正アクセスした奴が罰せられればいいですね。バグ公開したら幇助になったらバグレポートすら書けないですねえ。
11
否定騎士 @deknight440 2021年5月18日
予約システムの不出来は批判されてしかるべきレベルだが、報道のリテラシーの低さも相応以下のレベル。記事の具体的記述を見て試す人が1000人に1人いただけでとんでもない数の遅延が出て、最悪そのシステム全体が停止する被害になる可能性すらある。
55
いもQ @imoq_tw 2021年5月18日
ポルノでたとえてしまうと「実在する人物や建物などの防犯上の弱点を描くような作品があったらそりゃ袋叩きだろ」という話にしかならないでしょうにね
29
ぼたら @botarabotara 2021年5月18日
試すなよ絶対試すなよ(チラチラッ)ってお笑い芸人じゃあるまい。
3
さとうあきひろ @akihirosato1975 2021年5月18日
「公共性があるから脆弱性を一般に公開しても無罪」が通るなら、これまでセキュリティ業界の人間がゼロデイ脆弱性の取扱にどれだけ気を遣ってきたかという努力が完全に水の泡になるし、今後マスゴミが「公共性」の名目で脆弱性をバンバン公開してもそれを取り締まる方法が無くなる。こういうのは勘弁して欲しい。
88
barubaru @berururururu 2021年5月18日
jbeefたん、ドコモ口座ドコモ口座いうけど、あれはソフトバンクの代理店から口座情報漏れただけじゃねえの?
1
火雛@香港加油 @HibinaKageori 2021年5月18日
たとえ犯罪だとしても、国外から悪意を持って大量アクセスするやつがいたら、それは取り締まりようが無いよね?
4
Naruhito Ootaki @_Nekojarashi_ 2021年5月18日
無関係の第三者が「試す」必要性がないだろ。
71
さとうあきひろ @akihirosato1975 2021年5月18日
f_lco 過失ってのは法律に特に定めがない限り、原則として罪には問われない(刑法38条)。それで不正アクセス禁止法に話を限れば、あの法律には過失犯の規定は一切ないので、仮に過失によりシステムが壊れたとしても不正アクセス禁止法単体では罪に問われることはない。ただ他の法律の条文の適用がないとは言えないので、現実の事件の場合はそこらへんが厄介。
8
LCO @f_lco 2021年5月18日
akihirosato1975 なるほど「過失犯処罰規定」こんなのがあるのか、確かにコレだけ見ると「過失によってシステム破壊した」はこの規定に合致しない(傷害でもないし致死傷でもないし失火でも無いし…)から処罰対象ではないように見える 勉強になるなぁ
1
ランダー @zanac_lander 2021年5月18日
現時点でエビデンスなしにSQLインジェクションが発生したと思っている人は情報リテラシーがない。
2
beigyiaa @beigyiaa 2021年5月18日
HibinaKageori 「取り締まりようが無い話」と「犯罪になり得る行為を公開する事」は別問題。悪意を持つ人から大量アクセスされる恐れがあるのならばこそ、管理者に連絡するのが情報セキュリティで本来取るべき行為なんです。
17
らいす @happy2rice 2021年5月18日
朝日も毎日も、教唆だけじゃなくて実際に操作もやってることを記事上で自白してるので、摘発していいんじゃない?
66
火雛@香港加油 @HibinaKageori 2021年5月18日
beigyiaa いやいや私が言いたいのはそっちじゃない。 国外からの攻撃を際限なく唆すような行為だから、今回のアエラの報道は有害だって言いたいのです。 あと、役所は次回も同じようなガバシステム作ったら駄目だぞとも。
18
Ito Manabu (まなびぃ) @manaby76 2021年5月18日
いまは非公開にはしてますが、通信量の制限解除の裏ワザと思わせておいて、110番にかけるというイタズラが流行したのをまとめたことがありますが、やる方は何も考えずにやってるんだろうなと思います。
2
kimuraお兄さん@小豆島 @nobuo_kimura 2021年5月18日
( ^H^)y-~~こういう「報道」をした側も、今後何か法的責任を問われたりするのかな?
33
ぼたら @botarabotara 2021年5月18日
法的措置なんたらは大袈裟かと思う。これを悪用して個人情報を盗み出したり、詐欺に利用でもしない限りは。
1
sakenomi @sakenomi19 2021年5月18日
ひろみちゅ先生がセキュリティの不具合で、これはしょうがないって言ってるの初めて見た
10
ガチャおじさん @gatyaoji 2021年5月18日
侵入は犯罪だが、鍵を作るのは金と時間がかかるのでフルオープンにした。今後も鍵をかけることはできないで本当にいいんだ。すげえな
4
SAKURA87@多摩丁督 @Sakura87_net 2021年5月18日
nobuo_kimura そうしちゃうと不具合の報道自体が出来なくなってしまうのでそれはないかと。ただ、今回はいくつか「実際にやってみたら出来た」みたいな所があるから、そういうのは実害があれば何らかの罪に問われる可能性は今でもある。
7
noname @noname97219816 2021年5月18日
SQLインジェクションが出来てしまうならそれは脆弱性だし不正アクセスだが、生年月日や接種券番号が適当でも通るのは仕様通りなので別問題でしょう。コメ欄ゴッチャにしてる人多く無い?
5
ハドロン @hadoron1203 2021年5月18日
難しい話じゃないんだよ。例えば火災報知器は誰がボタン押しても消防車が駆け付けるだろ。それを知っていながら「火災じゃなくても通報できる。セキュリティがなってない」と騒ぎ立てるような行為だから非難される。現実にたくさんの人達の生死にかかわる状況で一刻を争うのに、詰まらない難癖付けて行政の足引っ張ってる場合かと。
65
刑事長/理事長 @DekatyouNy 2021年5月18日
kinmenitsuke 誤入力なら「接種対象者自身」か「接種対象者から依頼された人」なので、まず間違えようが無いんですが…
0
刑事長/理事長 @DekatyouNy 2021年5月18日
hadoron1203 踏切とか駅ホームにある非常通報装置、あれも「非常時以外で使ったら違法行為」ですからね…
20
あ~れ~@横須賀鎮守府 @31kt_Now 2021年5月18日
技術・法律論はおいといて、コロナ流行という緊急時に一月弱で作った間に合わせのシステムにサイバー攻撃仕掛ける時点で人間としてどうかと思うんだが。倫理観が無い人間が世論操作できる新聞中枢にいるという恐怖を感じる。
55
Fakir@鞄 @FakirCarbuncle 2021年5月18日
なぜか削除されてるけど、「ISMS(ISO27001)、 QMS(ISO9001)、プライバシーマークも取得しております」にもかかわらずこんなシステムでいいのか。認証した会社大丈夫か?? https://web.archive.org/web/20210518012548/https://www.mrso.co.jp/lp/covidvaccination/
8
思考錯誤 @UnchargedMemory 2021年5月18日
コメ欄を見て「避難所で配られたラーメンの種類でキレ散らかす人」はいるもんだなぁと思った。
28
椋木 @kuraki1122 2021年5月18日
関係者からリーク受けて、裏取りのために違法じゃない行為して叩かれるの、流石の朝日でもちょっと可哀想。法律じゃ無くてお気持ちの問題だっていうならまあどうぞですけど。
12
ウラリー㌠ @urary777 2021年5月18日
kuraki1122 違法か適法かは裁判でしか判断できないので、現時点では「不正アクセス禁止法『には』抵触しない可能性がある」程度しか言えんのでは?
26
luckdragon2009(rt多) @rt_luckdragon 2021年5月18日
素人質問で、すみません。SQL インジェクション、報道機関がやったというのはどこに載ってますか。
1
luckdragon2009(rt多) @rt_luckdragon 2021年5月18日
報道機関が行った前提で話が進んでいるので、念のため、情報ソースを確認したいです。
1
椋木 @kuraki1122 2021年5月18日
urary777 不正アクセス禁止法にも、業務妨害にも引っかからなそうなんですが、逆になんの罪に引っかかりそうなんですかね?少なくとも、不正アクセス禁止法には用件にすら引っかかってないようですが
4
おろか @ororororoka 2021年5月18日
cinefuk その例えだと漫画家が描いたのはエロ漫画ではなく「これこれの手順で〇〇小学校の女児を誘拐できることがわかったので防犯意識を高めるべき」みたいな啓蒙()漫画では?
8
Fakir@鞄 @FakirCarbuncle 2021年5月18日
urary777 質問した当人でなくてすみません、ご提示された記事には朝日新聞社がSQL(「Selet xx from yy」みたいな)入力をして情報を引き出したようなことは書いてありませんが、『SQL インジェクション、報道機関がやった』に対する回答として妥当な記事なのでしょうか?
2
あ~れ~@横須賀鎮守府 @31kt_Now 2021年5月18日
kuraki1122 SQLインジェクションを管理者に断りもなくやると不正アクセスに該当しますよ。
31
ウラリー㌠ @urary777 2021年5月18日
[c9133684] 「不正な手段によって」が何を指すかですね。元記事が辿れなかったので難ですが、そもそも「SQL インジェクションできる」と「報道機関がやった」は別の話題だと自分は認識してます。報道機関がやったのは「不正な予約」まででは。
1
ウラリー㌠ @urary777 2021年5月18日
kuraki1122 業務妨害に引っかかるか引っかからないかは、それこそ捜査しないとわからないのでは? 「脆弱性がある」ということを喧伝した時点で業務妨害に当たるかも知れませんし。いずれ自分は法律の専門家ではないので、詳細はお答えしかねますが。
15
椋木 @kuraki1122 2021年5月18日
31kt_Now SQLインジェクションを朝日毎日がやったなんてどこにも書いてませんけど?
4
椋木 @kuraki1122 2021年5月18日
urary777 なるほど了解しました。余りにも「違法だ」って騒いでる人多いんでなにかあるのかと思ったんですが、今のところ確定したものは何もない、ってのがわかったので充分です
4
NP @Pineaplle_head 2021年5月18日
urary777 業務妨害罪には「偽計業務妨害」と「威力業務妨害」の二種類があります。「偽計」とは人を欺き、誘惑すること、人の錯誤・不知を利用することをいいますので、広く不知をただす行為=喧伝する行為には成立する余地がありません。
3
ウラリー㌠ @urary777 2021年5月18日
Pineaplle_head 大変勉強になりますが上でも申しましたとおり自分は法律の専門家ではないですし、棘が法律問題に関して話し合うのに適したツールだとも認識しておりません。貴方が「朝日・毎日は無罪」とおっしゃるなら、そうだとして報道機関としては最低だと認識を新たにするまでですが。
0
あ~れ~@横須賀鎮守府 @31kt_Now 2021年5月18日
Pineaplle_head 電子計算機損壊等業務妨害罪が成立します。
20
ミトス@宮城 @mitos7 2021年5月18日
今回の話がややこしいのは平時じゃじゃなく有事だからなんだよな。ここでされてる議論は平時なら有効だけど、今回は有事であり目的の達成が一番で、それを阻害するような報道は控えるべきだと思うんだけど。マスコミは国民の利益であるワクチン接種が上手くいかなくなることを望んでいるのかねぇ…。
53
Fakir@鞄 @FakirCarbuncle 2021年5月18日
日経クロステックもやっていたようですね。「1234567890」ははじかれて、「0000000000」はOKだったらしいので、要件に「1234567890」をエラーにするよう指定されていたのかな。朝日が入力した番号(「9876543210」)は現在エラーになるらしいので、特定の番号だけエラーにする仕組みになっていると。 https://xtech.nikkei.com/atcl/nxt/news/18/10376/
7
KPCG10 @KPCG10 2021年5月18日
FakirCarbuncle まさか…納品前試験を通す為に「テスト用の1234567890はエラーとする」みたいなバリデータ(検証)が入ってる…。
1
両棲装〇戦闘車太郎 @d2N5Q4GciZtsa2e 2021年5月18日
Pineaplle_head 一般読者の不知に付け込んで業務妨害を煽動してる不具合
12
らぃりる-A列車switch版だいぶ安定してきたのでゲーム起動時のプログレスバーなんとかしませんか? @Liriru 2021年5月18日
Inuchawan 普通に、「宿泊名簿が書き込みできそうだったから虚偽情報を書き込んでみた」って言いかえればわかるかな? できそうだから試したらできた、は、犯罪になることが多々ある。
34
両棲装〇戦闘車太郎 @d2N5Q4GciZtsa2e 2021年5月18日
ororororoka そもそも漫画じゃなくて実物にアタックしてる不具合。 現実と創作の区別がつかない輩の口車に乗っちゃいかん
22
cocoon @cocoonP 2021年5月18日
思想でもシステムでも何でもそうなんですけど、「公(行政や立法 なぜか司法はあまりターゲットにならない)に対する攻撃は無罪」みたいな考えている人が結構な割合で世の中に存在するんですよね。その多くは「大企業」も公とみなしている人も多いです。「力を持っているものに対しては何をしてもいい」みたいな歪な思想というか。
49
luckdragon2009(rt多) @rt_luckdragon 2021年5月18日
urary777 質問本人です。そこのどこにも SQL インジェクション やったとは書いてありませんが。
1
cocoon @cocoonP 2021年5月18日
Inuchawan 今回の件は、報道機関は「ここの家はお金持ちなのですが、玄関の鍵が壊れていてかからないので入り放題です! 試しに我々も入ってみて確かめました! 返しておきましたがいったんお金も盗んでみました!」ってやってる状態ですからね。そして「試し」てる有象無象のクラッカー気取りのキッズは「話題の家に侵入してお金を盗んでみた」ってやってるようなものなので。それを犯罪だと思わないのならあなたの中ではそうなのでしょう。
51
ウラリー㌠ @urary777 2021年5月18日
rt_luckdragon 「素人質問どうこうじゃなく記事とまとめくらいは最低限読め、まとめ内でも言われてる通り『SQLインジェクション』と『報道機関による不正アクセス』は別の問題だ、そこまで人に教えられんと分からんのか」と言っているのですけど。
2
luckdragon2009(rt多) @rt_luckdragon 2021年5月18日
あれ? もしかして、報道機関が SQL インジェクションやってたように書いてたコメント消えました?
8
luckdragon2009(rt多) @rt_luckdragon 2021年5月18日
いや、コメントに書いてあったから、そんな事実はあったのか? と聞いたのだけど。
1
大石陽@聖マルク @stmark_309 2021年5月18日
突貫で作ったんだから仕方ないだろという人がいるが、今どきの言語って普通に作ればSQLインジェクションって起きないんじゃなかろうか。 新しくもないJavaでさえPreparedStatementのほうがだいたいどんな参考書でも標準だし。
1
beigyiaa @beigyiaa 2021年5月18日
HibinaKageori そちらの意味ですか。国外ハッカー系はまあAERAとかの情報無くてもやるでしょうからね。 どちらかというと法律違反の可能性になり得る行為であることを闇雲に掲載することは無知な人たちに犯罪行為をさせようとしているという方が大きいと思います。
1
Fakir@鞄 @FakirCarbuncle 2021年5月18日
urary777 横から失礼しますが、 「『SQLインジェクション』と『報道機関による不正アクセス』は別の問題」は無理筋ではないでしょうか。 ID/PW必要ないので単に予約システム使用するだけなら不正アクセスには該当しないので、31kt_Now 「SQLインジェクションしたら不正アクセスに該当」が本当で報道機関がSQLインジェクションを実施していない限り「報道機関による不正アクセス」が成立しませんよね?
3
月末も腓骨 @ribsleftrurs 2021年5月18日
試す権限がないだけでシステムの堅牢性確認するために試す必要はあるんだよ。 日本じゃ法律で禁止されてるけどな。
4
椋木 @kuraki1122 2021年5月18日
31kt_Now じゃあマスコミがSQLインジェクションしたソースがどこかにあるんですか?そうじゃないならなんで急にSQLインジェクションの話してきたんですか?
0
beigyiaa @beigyiaa 2021年5月18日
あの悪名高いラジオライフでもグレーゾーンを攻めていても肝心の部分は避けていたわけで、今回報道したマスコミはそんなラジオライフですら避けてた行為を堂々とやったということなんですよ。ラジオライフ以下なんですわ。
34
大石陽@聖マルク @stmark_309 2021年5月18日
FakirCarbuncle こういうエラーが用意されているということは、不正な番号を弾くという要件はあった上で、予め用意したテスト番号だけ弾く仕組みを用意して、「ほら1234567890はエラーになるので不正な番号は弾く仕組みになってます!」とテスト結果を捏造して納品してるってことだよなあ
4
たるたる @heporap 2021年5月18日
lion55571 バグレポートは一般公開する物ではありませんよ。
24
椋木 @kuraki1122 2021年5月18日
31kt_Now からかいたかっただけなんですね、わかりました。
1
あ~れ~@横須賀鎮守府 @31kt_Now 2021年5月18日
FakirCarbuncle 掲題のSQLインジェクションがソースにないのならデマかもしれませんが、現時点で他人のシステムに虚偽情報を掲載して業務妨害するという、電子計算機損壊等業務妨害罪は成立してると思いますけど?
19
あ~れ~@横須賀鎮守府 @31kt_Now 2021年5月18日
kuraki1122 どうやら荒らしのようですね。もし本気でやってるんでしたら日本語読めるようになってから来て下さい。おしまい。
22
Vostok @vostok7777 2021年5月18日
mitos7 望んでいると思うけれど。
9
なかず @h5YkVfIcMF4yTlN 2021年5月18日
セキュリティホールやシステム上の不具合は内部的に検証してもらうために秘密裏に報告するものであって、ことさらに喧伝するものではない。 そもそもありもしない予約データを作り出したということを報道しているが、検証する意味があったとしても「予約会場に行くつもりがないのに」虚偽データでワクチンを用意させ結果破棄させるというのは業務妨害になりうるので、一般人は絶対にやっちゃだめだねこれ。
24
犬だよ @yaju5123 2021年5月18日
nobuo_kimura 脆弱性の報道でってのは多分無いんじゃ無いかと思います。脆弱性のレポートで有名なのにCVEってのがあるんですが、ここが発表するのも実質報道みたいなモンなので禁止にはならない……ような気がする。 https://www.redhat.com/ja/topics/security/what-is-cve
2
レイジー先生 @layzy_glp 2021年5月18日
取り敢えずやっちまった記者は最低でも書類送検は免れないだろ。自首した方が良いぞ。
4
Vostok @vostok7777 2021年5月18日
layzy_glp 書類送検は犯罪者のみに行われるものではないと、ことあるごとに声を上げていきたい。
1
Fakir@鞄 @FakirCarbuncle 2021年5月18日
31kt_Now 報道機関による不正アクセスは成立しないが電子計算機損壊等業務妨害罪は成立する、というのは法の要件の問題なのでよいです。個別の法の要件まで争うつもりはないです。 ただ「ソースにないのであれば」というのであれば 31kt_Now はどのような意図だったのでしょう?どこかに朝日なり毎日なりがSQLインジェクションを実際に行ったという報道なり記事なりがあって、それが不正アクセスにあたると述べたのではないということです?
1
Fakir@鞄 @FakirCarbuncle 2021年5月18日
31kt_Now すみません整理させてください。 31kt_Nowkuraki1122 に対するコメントなのでその最初のツリーは kuraki1122 なので、朝日新聞社がやったことは不正アクセスである、なぜならSQLインジェクションは不正アクセスの要件であるというコメントですよね? 一般論としての「SQLインジェクションが不正アクセス」はこのまとめ自体がそのことを述べたものだから、改めてコメントすることに意味はないですから、そのように取りましたが。
2
フローライト @FluoRiteTW 2021年5月18日
亀のクズ野郎が踊ってるだけで、本質的にはそこまでクリティカルな問題ではないと思うんだがな
15
かじ @micking_bird 2021年5月18日
Hiromitsu Takagi氏の見解としては、公表(報道)は「法的には問題ない&公益性がある」、セキュリティ仕様としては「より重大な情報漏洩を防いだことを評価&緊急時だししょうがない」という感じですかね。
3
Kdoa333 @kdoa333 2021年5月18日
youtuberなら犯罪上等なんだから,彼ら/彼女らにやってもらえばいいんじゃね?再生回数も伸びるでしょ
0
Kdoa333 @kdoa333 2021年5月18日
高木さんがこの手のシステムで擁護的なのは珍しい
0
Nicholai MARO @MAROCKs 2021年5月18日
先日、米国の石油パイプラインを止めた人たちとか、日本の官公庁や企業ネットワークに不正アクセスするやからがニュースになったけれど、その類の人たちは、法に抵触しようがお構いなしにアクセスしてくるでしょう。日本国民向けのワクチンが無駄になって廃棄されて、本来接種を受けるべき人たちが受けられなくなると言うことで、彼らの目的は達せられるのですからね。
23
Nicholai MARO @MAROCKs 2021年5月18日
いたずらな日本人だけが試行するわけじゃないですよ。
18
考えたい @maxta 2021年5月18日
「こんな問題のあるシステムしか作れない政府行政の問題」を報道して集合知を喚起せしめようとする事は正しい。 共同体の存続にプラスとなることを優先し、そのために市民の法で裁かれようとも構わないという意気やよし。
0
考えたい @maxta 2021年5月18日
どんなに嫌われようとも犯罪(ハッキング)であろうとも、全体的利益を考えてそれを敢行し、システムの問題を指摘するハッカー精神を讃えたい。 特に今回のような、低レベルですぐに気が付き、それゆえに秘密にする必要性が低く、むしろステークホルダー(利害当事者)たる国民に問題状況を開示し、輿論を喚起せしめ、COCOAから繰り返される根本問題の根治に向けた国民運動を生じさせることによる、腐った利権まみれのダメな開発委託の仕組みを潰したほうが良い場合は尚更だ。
0
火雛@香港加油 @HibinaKageori 2021年5月18日
MAROCKs 日本人の愉快犯に対しては「お前のやってることは犯罪だぞ、後で警察来るかもな」と言えばそこそこ抑止が効く。だから国内に限れば、ガバいシステムを作っても大丈夫(非常時だし、そもそもネットで個人認証する手段が日本では普及してないから、どうせガバくならざるを得ない)という考えを役所が持つのはわかる。 問題はそう、日本の法が届かないところからの攻撃なんだよね。 日本のワクチン事情が破綻して喜ぶ奴なんて、世界に幾らでも居る。
17
鹿 @a_hind 2021年5月18日
mitos7 炎上した方が話題にことかかないから嬉しいんでしょう
0
鹿 @a_hind 2021年5月18日
倫理観とかリテラシーとかそういう概念が存在せず、ただできるからやった、できると思った時には終わってたみたいな奴っているからなあ。たださ、そういう愉快犯的な奴よりも明確な悪意持ってる奴が簡単に攻撃できてしまうのが不味いわ。
0
ペッコ科 @QuruPecco 2021年5月18日
さっさと終わらせなきゃなんないのに今じゃない感
0
あ~れ~@横須賀鎮守府 @31kt_Now 2021年5月18日
FakirCarbuncle 日本語の読解能力がないのなら精神科にご相談下さい。私の手に余る。
13
犬の茶碗蒸し @Inuchawan 2021年5月18日
企業側に一報入れなきゃ脆弱性の情報について公表もできないって、それつまり企業が協力しなけりゃ永久に脆弱性は放置されたままで、ユーザーは黙って害を受けるしかないってことじゃないのか。故意犯しか規定されてない不正アクセス禁止法だの業務妨害罪だのを適用しろとか言ってみたり、いくら政府擁護のためとはいえ無茶苦茶すぎないか?
5
犬の茶碗蒸し @Inuchawan 2021年5月18日
マジで、あれだけ神奈川県警のサイバー犯罪への無理解を嘲笑して、個々の事例を犯罪と見做すことには冷静になれとおっしゃっていたネット世論はどこ言ったんだよ。マスコミへの攻撃一色で、これが本当に犯罪に当たることなのかという判例だの事例だの、それの集積もなしに突っ走ってるじゃないか。
4
あ~れ~@横須賀鎮守府 @31kt_Now 2021年5月18日
Inuchawan 別の所でも書いたけど、IPAの担当部署なり防衛省の公益通報窓口に連絡すりゃいいんちゃうの?IPAも今回のように不具合の手口を流布は絶対にするなとキレてる。https://www.itmedia.co.jp/news/articles/2105/18/news145.html
28
犬の茶碗蒸し @Inuchawan 2021年5月18日
31kt_Now 今回マスコミが報道したのは「不正アクセス禁止と言えるかどうか分からない予約システムの瑕疵」の部分までで、SQLインジェクションに関してはその後人が集まってきてから発見されてるでしょ。その記事でも指摘されて慌てて追加してるけど、それでどこまでが「マスコミの脆弱性公表に関する犯罪的手法」と呼べるかってことだけど。
1
犬の茶碗蒸し @Inuchawan 2021年5月18日
個人が脆弱性だと認識していない製品の不具合を公表したら、結果的に第三者の手により脆弱性が発見されてしまった場合は、発見者が脆弱性情報を流布した責任を負うと言うことになるの?こういう行為に対する過失や予見不可能性っての、まさにあの神奈川県警の事例で問われてたところだと思うんだが。
3
犬の茶碗蒸し @Inuchawan 2021年5月19日
例えばだけど、何らかのソフトを使っていて頻繁にフリーズするという問題をどっかに書き込んだ。それに興味を持ったクラッカーがソフトを解析したら、サイバー攻撃に利用できるようなセキュリティホールを発見した。それで実際に攻撃が起こったとしたら、責任は最初に問題を公表してクラッカーを呼び込み、セキュリティ上の問題へと発展させた人だということになるわけ?
1
犬の茶碗蒸し @Inuchawan 2021年5月19日
ネットのいろんなとこに不具合を報告する場所とかあるけど、ああいうのに書き込むのは最終的に脆弱性の危険な公表を行った主犯として糾弾されかねない危険な行為なんだ。知らなかったよ。
2
あ~れ~@横須賀鎮守府 @31kt_Now 2021年5月19日
Inuchawan 今回の場合は脆弱性だという認識があるからその例えには該当しないだろ。
12
犬の茶碗蒸し @Inuchawan 2021年5月19日
31kt_Now マスコミが「情報セキュリティ上システムに問題がある」という旨の報道をした事実はあるの?自分が見た限りだと、ユーザビリティとしての予約システムの欠陥を指摘した部分があったとしても、情報セキュリティ的なところの指摘についての報道は見当たらないけどなぁ。一見強力な批判の根拠に見える 31kt_Now の記事が、「架空予約できることが脆弱性かどうかは議論の余地がある」と注がつけられてるのも、そこんとこ再考する必要があるからでしょ。
3
犬の茶碗蒸し @Inuchawan 2021年5月19日
なんでもかんでも脆弱性です、情報の公開は差し控えられますし、むしろ公表者の方が有害ですということになったら、今度は情報発信に深刻な萎縮を招くわけだよ。だから何が脆弱性に当たって、どういうことが公表を差し止めるのに妥当かについては慎重にならなきゃいけない。普段表現の自由について詳しいネットの人なら良くわかってると思うけど。マスコミ批判一辺倒で、そこのところを等閑視してる場合じゃないよなぁ。
2
あ~れ~@横須賀鎮守府 @31kt_Now 2021年5月19日
Inuchawan 正規の手順を踏まずにログインできる方法を書き込むことは不正アクセス禁止法で禁止されてます(助長する行為の禁止)。もちろん罰則もつきますけど、君はリテラシーなさ過ぎじゃないかね?
13
犬の茶碗蒸し @Inuchawan 2021年5月19日
[c9135170] まず、今回の件に関して、「故意犯の場合の刑罰しか規定されていない」不正アクセス禁止法を持ってくるのは止めたら?それに、「脆弱性」の定義が不正アクセス禁止法の条文を参照すれば分かるという根拠も示されていないしね。
1
あ~れ~@横須賀鎮守府 @31kt_Now 2021年5月19日
Inuchawan 私からは法で禁止されてますので、どうぞ萎縮して下さいとしか。
20
あ~れ~@横須賀鎮守府 @31kt_Now 2021年5月19日
Inuchawan いえ、今回の場合はサイトにログイン方法書いてあるという不正アクセスにを助長する行為なんで無理です。
10
五月雨山茶花蝉しぐれ @taken1234challe 2021年5月19日
攻殻機動隊の攻性防壁が公的なものにのみ認められているのもよく分かる。
1
非公然組織「新型コロナに関するワクチン・ハラスメントおよびワクチン警察防止委員会」 @NOVharassment 2021年5月19日
IPAの権限とか管轄については知らないんだけど、自衛隊って文字通り日の丸が後ろにある組織相手でなおかつ「27日までに運用開始」という日本の行政で一番偉い人の命令があるなかで経済産業省管轄の独立行政法人がなんか対応できるの?下手したら学術会議みたい菅おじさんがでてきて黙らせるんじゃないっていう疑問が。(お役所動かすにはリークで世論動かすのが一番手っ取り早いのもまたお約束)
0
ゆーき @yuki073 2021年5月19日
yaju5123 CVEは原則として開発者に連絡して、修正のパッチが出てから公開ですよ。 連絡もせずに勝手に公開するバカと一緒にしないでほしいですね。
11
ゆーき @yuki073 2021年5月19日
NOVharassment IPAに通報する意味を勘違いしてませんか?
16
Fakir@鞄 @FakirCarbuncle 2021年5月19日
31kt_Now どういう意図ですかという問いに対して 日本語の読解能力をもちだすというのはまともにコミュニケーション取る気がないと判断します。 31kt_Now これにいいね!を付けている方はなにが「掲題」の意味するところなのか本当に分かっているんですかね。掲題の通りです、ってこのまとめあなたが書いたわけじゃないので、最低でもどれが「掲題」にあたるか示してください。
7
非公然組織「新型コロナに関するワクチン・ハラスメントおよびワクチン警察防止委員会」 @NOVharassment 2021年5月19日
というか不正の手口たって「適当に数字打ち込む」だし「時間がないので一部改修で済ませます」って言っちゃってる以上、不具合や脆弱性じゃなくて「それは仕様です(タイオウイタシマセン)」byニコニコ大百科の部類なんだんよな
2
あ~れ~@横須賀鎮守府 @31kt_Now 2021年5月19日
FakirCarbuncle 掲題が何か分からないんだったら義務教育からやり直せ。絡んできて迷惑。
6
大森小鉢 @xCORENLAmt4zIc5 2021年5月19日
報道機関が問題を報告し、それでも対応されず放置していた。なら報道する意義はあるが、問題を見つけたからいの一番に記事にするのは目的と手段をはき違えているし、そもそも手段を詳細に報じる必要もない。これが予約に関する問題ではなく、7ペイの問題を同じく報道機関が見つけ、実践し、真っ先に記事にして手段まで詳細に書いていたら苦言どころの問題じゃ済まなかっただろ。
22
非公然組織「新型コロナに関するワクチン・ハラスメントおよびワクチン警察防止委員会」 @NOVharassment 2021年5月19日
yuki073 IPAについてはサクッと調べた程度だけど、自衛隊はもう不具合承知で期日までに動かそうってノリだったみたいじゃん。IPAに通報したら開発者と調整するらしいけど、発注元の日の丸自衛隊、もしくはその後ろにいる官邸が脆弱性やシステム改修のための何かしてくれるのかなと。文字通り政治案件でもあるんだよ。コレ(というかそこまで素早く動いてくれる感じでもなさそうだし、通報は実名らしいから今回みたいに内部告発には使いにくいやろね)
3
Fakir@鞄 @FakirCarbuncle 2021年5月19日
31kt_Now 絡んできたのはあなたの方ですよね。わたしは FakirCarbuncle@urary777氏にコメントしていますが、それに対してなぜかあなたが絡んできたのでコメント返しているだけです。
7
kaki @vymibugitopu 2021年5月19日
まったくリテラシーのない意見ではあるけど、割とネット慣れてても長いパスワードやら何やらを打ち込んでて延々不一致エラー出まくり「ちょっとぐらい大目に見てくれよ!」って思うことが多々あるので、お年寄りとか不慣れな人まで対象にしてるなら何かもう「パスワードがあるテイだけど実は間違ってても全然OK」でいいじゃんくらいの感覚。ダメなんだろうけど心情的には
2
k9cycle @__hage 2021年5月19日
こういったセキュリティ上の問題についてマスコミがいかに浅はかかってことは、「ゼロデイ攻撃」でぐぐってくれ。きちんと確立された手順があるから。
22
うさが @Unlimited_SaGa 2021年5月19日
NOVharassment 「下手したら学術会議みたい菅おじさんがでてきて黙らせるんじゃないっていう疑問が。」存在意義のない人に対する対応と一緒にされましても
1
うさが @Unlimited_SaGa 2021年5月19日
なんか、不具合をどうにかしたいんじゃなくて叩きたいっていう魂胆が透けて見える方が大勢いて暗澹たる思いです
19
RGB000 @19666_61 2021年5月19日
この国をIT後進国と罵倒する時、ゼロデイ脆弱性を全国ネットで公開するメディアもセットにすることにはしたよ
6
ゴリラ・ゴリラ・ゴリラ・ゴリラ・ゴリラ @5rilla_5rilla_5 2021年5月19日
だからコンビニが万引きできる仕組みになってるからって実際に万引きしたら犯罪ですって。
20
夕彩ひおう @chaos__seed 2021年5月19日
自〇の方法を、その手順から道具からなにからなにまで細やかにワイドショーで紹介した結果、他では代替できない薬品が売られなくなった話があったよね
3
Ikunao Sugiyama @Dursan 2021年5月19日
SQLインジェクションの件、朝日か毎日の記者が実践して、とかドス黒い願望が沸いてくるのを止められない。
0
未完缶 @citrus_hanayu 2021年5月19日
複数の別の問題が組み合わさっているから、実に論点が定まりにくい
0
M.Katsuno@メガ冷房車超党派連合 @Gvo_Tiberius 2021年5月19日
みんな一応身元がばれないように遊んでいるのに、マスコミは「犯罪しました!」と申告しているようにしか見えない。
6
Fakir@鞄 @FakirCarbuncle 2021年5月19日
yuki073 AERAの記事読む限り、どんな番号でも予約できることを発見した後に防衛省に問い合わせたら「現在、担当部署に確認している」システム提供もとに取材申し込んだら「担当者が不在で対応できない」と回答されたとのことなので相手方に連絡せずに記事にしたわけではないようです。
5
あ~れ~@横須賀鎮守府 @31kt_Now 2021年5月19日
FakirCarbuncle 連絡の有無じゃなくて許可の有無を問題にしてるの理解できないかな?それで通常許されないゼロデイ攻撃の手順を公開していることも。君完全に言ってることが浮いてるぞ?
12
月末も腓骨 @ribsleftrurs 2021年5月19日
FluoRiteTW 普段から酷使っぷりを遺憾無く発揮してるこういう連中が中国の攻撃を想定できない時点でお察し。
0
月末も腓骨 @ribsleftrurs 2021年5月19日
31kt_Now 偉そうなコメントはまずFakirCarbuncle に謝罪してからにしろゴミ野郎
2
螺子島 @nejisima 2021年5月19日
beigyiaa 電子計算機損壊等業務妨害罪ですね。がっつり当てはまります……
1
あ~れ~@横須賀鎮守府 @31kt_Now 2021年5月19日
ribsleftrurs 専門家として指摘してあげたのに小学生の国語レベルの質問繰り返すからですよ。しかし君みたいに誹謗中傷しか出来なくなると惨めだね~。
12
あ~れ~@横須賀鎮守府 @31kt_Now 2021年5月19日
FakirCarbuncle ribsleftrurs いえ絡んできたのはあなたでしょう。私の発言 31kt_Nowに対して FakirCarbuncle で絡み始めてる。嘘をつくなよ。
10
月末も腓骨 @ribsleftrurs 2021年5月19日
31kt_Now 単なる引用だろ。もう諦めろ。
2
ゆーき @yuki073 2021年5月19日
FakirCarbuncle あなたのいる業界ではそれで連絡とったことになるんですね。離席している間に連絡とったから進めるとか言われるのは恐ろしいので 、どの業界か教えてもらえますか?
7
月末も腓骨 @ribsleftrurs 2021年5月19日
yuki073 対応しないと言われてる話を離席にすり替えるのは感心しない
0
あ~れ~@横須賀鎮守府 @31kt_Now 2021年5月19日
ribsleftrurs 引用要件を満たしてないのに引用とは…。仕事探せよニート野郎。仕事入る前に新聞紙丸めてゴキブリ潰した気分だわ
15
ゆーき @yuki073 2021年5月19日
ribsleftrurs 「担当者が不在で対応できない」ですよね?この回答が「対応しない」という意味になる業界もあるのですか。日本は広いですね。
4
非公然組織「新型コロナに関するワクチン・ハラスメントおよびワクチン警察防止委員会」 @NOVharassment 2021年5月19日
Unlimited_SaGa 「人事が気に入らない」とかいうよくわからん理由で介入した学術会議と違って「菅総理の発令によって行われる自衛隊主導の大規模接種計画を遅延させる」ことになるから、ガッツリと介入する理由あるわけで、確かに違うなwwww
0
Fakir@鞄 @FakirCarbuncle 2021年5月19日
31kt_Now その論でいくと連絡しても不具合と認めない限り公開できないことになり、改修されるまでの間損害を被る人がでてしまうので、そのほうが問題だと思います。あとSQLインジェクションまでいけばともかく、でたらめな番号でも処理されてしまうことが通常許されないゼロデイ攻撃なのですか? 31kt_Now 単に引用しただけです。
0
Fakir@鞄 @FakirCarbuncle 2021年5月19日
yuki073 わたしの業界関係ないですよね。いちおう断っておくとメディア関係(新聞社含む)ではないです。 連絡の有無が問題であると言うのであれば、この程度で連絡したから公開していいと考えるメディアはおかしいと主張されればよいと思います。もっとも朝日にしろ毎日にしろ日経にしろセキュリティの考え方に則って記事書いたわけではないと思いますけど。
1
火雛@香港加油 @HibinaKageori 2021年5月19日
私がメディアの立場なら、まず国やらIPAやらに通報して、シカトされたら世間にバラす。 それがまず正しい手順だし、それによって「マスコミはわざと損害の大きくなる選択肢を実行した」という批判をかわせる。 でも現実のマスコミは、そんな記事の破壊力を落とすようなことをしたくなかったんだろうね。 公益や企業倫理の優先順位が低かったということだ。
12
ゆーき @yuki073 2021年5月19日
FakirCarbuncle あなたの業界は関係あるでしょう。「担当者不在」を「連絡をとった」とする解釈があなたのいる場所では使われているのですよね?でなければわざわざ書かないでしょうし。 「〜する時は連絡して」と指示を出した時に担当者不在で勝手に進められたくないので。
5
キタムラシステム @kitasys 2021年5月19日
この程度の対策、広く出回ってるなり自社で持ってるなりするフレームワーク使ったら最初から出来てそうに思うけど違うのかな
1
ぼたら @botarabotara 2021年5月19日
31kt_Now いや、上位5%の企業にお勤めらしいよ。本人も社内では英語でのやりとりもしばしばで、ロシア人の彼女のためにロシア語を即座に学べるとか。
7
唯野 @tadano29 2021年5月19日
どーもどっちの陣営も引っ込みつかなくなって罵倒合戦が激化してる感あるなー
0
ぼたら @botarabotara 2021年5月19日
botarabotara ただしシュナムル同様本人の話以外証明の無い経歴自慢ではあるけども。
7
乾也春海 @kanbaru 2021年5月19日
HibinaKageori まぁマスコミ間でも情報発信の競争があるので手順を無視するというのはあるのかと。あれで商売ですし。言ってしまえば記事中の「試してみた」部分も聞いた話を一部の数字など変更してそのまま書いてるまで、可能性としてはありますから。
0
ぼたら @botarabotara 2021年5月19日
HibinaKageori システムの杜撰さを報道する分には良い。ただ、不正利用の操作方法まで書く必要があったのか。そこまで書くとしてもそれはそのシステムが一旦封鎖にされてから。
1
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2021年5月19日
(担当者不在だと答えられない状況は組織として問題なのでは?話の本筋と外れるけど)
0
犬だよ @yaju5123 2021年5月19日
yuki073 流石に脆弱性の公開って話でCVEみたいなちゃんとしたのと同じにしたのは説明としてアレでしたね。 他に分かりやすいの出てこなかったからゆるして
0
あ~れ~@横須賀鎮守府 @31kt_Now 2021年5月19日
botarabotara 閉鎖病棟のある病院に居られるんですかね?おそらく。
5
月末も腓骨 @ribsleftrurs 2021年5月19日
botarabotara 学んでもいない外国語が即座に喋れるわけないだろ。 デマ吐くための複垢くんがどんどん増えてて惨めったらしいったらありゃしない。
0
月末も腓骨 @ribsleftrurs 2021年5月19日
yuki073 対応できるなら「担当者から折り返す」なりなんなり返事できるでしょう。 そんなことすらせずに対応するつもりだった!が通じるなんて日本は広いですね。
0
月末も腓骨 @ribsleftrurs 2021年5月19日
31kt_Now 誹謗中傷しかできなくなるとは惨めだなってこのまとめで誰か書いてるぞ、ゴキブリ以下のバイキンくん😂
0
Blacknon@お引越ししたい @blacknon_ 2021年5月20日
記事内で脆弱性の検証目的であるという旨があったから、明言してる以上は普通に不正アクセス禁止法に該当かと思ってたけど、微妙なラインなのか
0
maguro @vo_ov_maguro 2021年5月20日
hadoron1203 がっちりカバーして、非常時のみ押してくださいと書かれているのを、いたずらに押すのは駄目だろうけど、むき出しで注意書きも無い状態のボタンでそんなこと言われましても。 200億強のシステムがアレだと泣けてくるよ。
0
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2021年5月20日
blacknon_ パスワードとかで管理されてるものに不正にアクセスするのが「不正アクセス禁止法」の要件らしいので、少なくともそれには当たらないという話は見ましたね。
0
龍ex @ryu_ex222 2021年5月20日
vo_ov_maguro 今回話題になっているのはワクチン接種予約システムってことは理解してますよね?まさかそこら辺にある誰でも書込み可能な掲示板などと勘違いなさってる? 非常ボタン専用部屋(予約サイト)に非常ボタン(ワクチン予約)とでかでかと書いててたまたまカバーが外れているボタン(入力フォーム)を押して、更にデタラメな番号を入力する手間までかけてる。 そりゃ未就学児がたまたま潜り込んで弄ったならともかく、判断力が有るはずの大人が手間暇かけてやった以上は故意、じゃないなら狂人としか言いようがない
5
龍ex @ryu_ex222 2021年5月20日
vo_ov_maguro まさかとは思いますが、家の鍵が開いてるからって、ドアを開けて、中に入って、壁にいたずら書きして、それを大声で誰にでも聞こえるように叫んだ人間をなんの罪もないとおっしゃる? クソシステムを批判するならともかく、そこまで複雑な操作をやって確かめて、その情報を広めたら法に触れる覚悟の有る悪意しかないと思うんですが。 誤操作で入れて発覚してこっそり知らせるならともかく、関係者以外に検証する権利はないですし、悪用できる情報を広めるとかコンプラぶっちぎり過ぎて悪質
4
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2021年5月20日
「ドアを開けて、中に入って、壁にいたずら書き」は犯罪なのですが、なぜ犯罪ではないもののたとえ話に犯罪の例を上げるのか、そこがわからない。
0
龍ex @ryu_ex222 2021年5月20日
後、クソシステムはクソシステムだと思うので時間経ってから、あるいは方法をボカして批判するのは肯定します。 それでも検証する権利がないのに勝手に検証したら善意の第三者じゃなくて悪意の犯罪者。 ちなみに不正アクセス禁止法は総務省が「識別符号とは、情報機器やサービスにアクセスする際に使用するIDやパスワード等のことです」と明記しており、ワクチン接種券番号はそれに該当し、適当な番号が総当たり攻撃のクラッキングとして立件されれば成立する可能性があると思います
4
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2021年5月20日
今回の話、「そこまで複雑な操作」でもなんでもないってのも大きいよね。番号の入力ミスとか日付の入力ミスとか誰でも発生しうる。
0
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2021年5月20日
まあ、犯罪だと思うなら犯罪として処理するのが正道ですね。
0
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2021年5月20日
ryu_ex222 まとめられてるつぶやきは読みましたか?https://twitter.com/HiromitsuTakagi/status/1394293029008076808 このひと(専門家)は不正アクセス禁止法には当たらないという見解のようでsが、この辺の法律に詳しい人で不正アクセス禁止法に抵触すると考えてる人はいるのでしょうか?
0
龍ex @ryu_ex222 2021年5月20日
dokuman3 犯罪となぜ理解できないか、わからない。屁理屈言いそうなので書きますが、どちらも訴訟や立件されれば罪、されなければ罪に問われない点も同じですね。  dokuman3 このまとめは誰でも起きる入力ミスの話ではなく、「試してみた」と故意にやった旨の人たちの話なんですけど……。もう一度まとめを読み直すことをおすすめします
3
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2021年5月20日
ryu_ex222 まず、「訴訟や立件されれば罪」という部分があなたと専門家の間で意見の相違があるように見受けられます。
0
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2021年5月20日
ryu_ex222 「このまとめは誰でも起きる入力ミスの話ではない」のは正しいですが、あなたが書いたのは「そこまで複雑な操作をやって」ですね。
0
龍ex @ryu_ex222 2021年5月20日
dokuman3 その方の見解なだけですね。識別符号に当たる可能性があると指摘したまでです。総務省のページを掲載しておきますので、 ryu_ex222 で既に書いてあるので合わせてお読み直しくださいhttps://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/legal/09.html ちなみに接種券番号はユニークなものなのでIDと同じ識別符号ですし、IDとまんま書いている自治体(新宿区始め)も有ります
5
龍ex @ryu_ex222 2021年5月20日
dokuman3 少なくともそれを判断するのはあなたではないですね。 ryu_ex222 に書いておきましたのでお読みください
4
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2021年5月20日
ryu_ex222 まあ、「その方の見解なだけですね。」というのは正しいですね。相手を見た上でその自信がどこから来るのかさっぱりわかりませんが。
0
小川靖浩 @olfey0506 2021年5月20日
今回の話は二つの論点があるのを混同しているのが話をややこしている状態に繋がっている。すなわち「サイトにはバグがあり不正入力でも予約が取れてしまう恐れがある」という事と「それの手順を公開する事」の二つであり、前者に関しては大体は「そっちの抜かりは情状酌量の余地はあるとはいえ問題である」のに対して後者は「それって故意犯だと疑われる行為」という状況なのがねぇ。批判するのであればバグだけに留まり、模倣犯を出さないよう具体的内容は語ってはいけなかった、に尽きるんだがねぇ
1
龍ex @ryu_ex222 2021年5月20日
dokuman3 そりゃあ誰かが言ったからで停止して人の揚げ足しか取らず、自身で根拠を説明せず、可能性とわざわざ付けている日本語が理解できない方には一生わからないんじゃないですかね
4
あ~れ~@横須賀鎮守府 @31kt_Now 2021年5月20日
[c9140238] 皆それを前提にした上の話してるんだよね。自衛隊側はシステム開発の時間が無く、ある程度の人数制限が出来ればよいので穴があるのを覚悟でリリースしてるのに対して、マスコミ側は情報の分野でやってはいけない同情の余地がないことをやってる。そのマターの話。まあシステムの不具合の程度が低かったと言うのはあるけども。
4
小川靖浩 @olfey0506 2021年5月20日
[c9140238] その「誰だって理解してる話」を混同しているから話が迷走してるんでしょ、と。結局は「目的は手段を正当化するか否か、その境目は何処か」で紛糾してるわけなんだから「大前提を確認する事」は定期的に行わなければならない話であり、それを「イキり」とか言うのは冷静さを欠いてるとしか評せないぞい
0
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2021年5月20日
ryu_ex222 そうですね。医者の言うことが正しいとは限らないから標準治療を打ち切って民間療法未満の代物に大金注ぎ込んで病気を悪化させるのだって個人の勝手ですからね。根拠だってすでに書かれているものが目に入らないのも個人の勝手だし、指摘を揚げ足としか思わないのも個人の勝手ですしね。まあ、一生わからなくてよかったと安堵してるところです。
0
龍ex @ryu_ex222 2021年5月20日
dokuman3 次は極論ですか……。もうちょっと真面目に生きたら?
2
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2021年5月20日
自分と違う意見は揚げ足取りや極論ですか、それが真面目な生き方なら、俺は不真面目に「相手の言ったことが正しく、自分が間違ってるんじゃないかという考えを常に持ち続ける」生き方でいいや。
0
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2021年5月20日
まあこの件、「そのようなIDやパスワードによりアクセス制御機能が付されている情報機器やサービス」じゃないので総務省のページに書いてあることが読めるなら二秒で理解できるんですけどね。
0
龍ex @ryu_ex222 2021年5月20日
dokuman3 あー、そもそもあなたはhttps://togetter.com/li/1716797でも@HiromitsuTakagiさんの話を鵜呑みにしてるだけの人じゃん。そりゃ論理が理解できてないから根拠提示してこうじゃないかという話が通じずに、金科玉条のように扱って専門家だから正しいかのような発言やずれた例題、極論持ち出すわけだ。 その話をしたければ@HiromitsuTakagiさんと存分に話し合うといいよ。あなたの望む答えが返ってくるだろうから。まぁあなたの言葉が通じれば話だが
3
龍ex @ryu_ex222 2021年5月20日
持ち出している元の話の論理を理解できず上っ面だけ真似して、根拠なく人を否定したいだけの人は永遠に平行線で話し合いなんてできませんので、以後放置します。 普通の人は根拠はなにでどんな考えなのかとか理解するために話し合って、矛盾がなければ別の考えかと収めるんだけど、専門家の発言を叩く棒にして否定したいだけのレスバくんとは時間の無駄なので相手しません。 並行してあり得る別の論を理解できないならアンカーなんてしないで欲しい
3
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2021年5月20日
ryu_ex222 頑張って書いたところ悪いんだけど、根拠はすぐ上に書いてあるよ。アクセス制御機能が付されてないんですよ。
0
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2021年5月20日
まあ、初っ端の反応が「屁理屈言いそうなので書きますが」なので、まあ、そんな人なんでしょうが。
0
月末も腓骨 @ribsleftrurs 2021年5月21日
31kt_Now 「いいねの数は俺の方が上www」とかいいながらそれすら負けた惨めを極めたお前より可哀想な人間なんてそうそういないよ😂
0
ゆーき @yuki073 2021年5月22日
ribsleftrurs 13時20分に15時までに回答するように求めたらしいけど、それで回答できなければ「対応しない」になるのか?
4
らぃりる-A列車switch版だいぶ安定してきたのでゲーム起動時のプログレスバーなんとかしませんか? @Liriru 2021年5月26日
このシステム自体は「飲食店の名前を書いてお待ちください」をネット上に持ってきたようなもんでしかないんだよなあ。 急いでるから紙切れおいて順番に名前かけよ、って話。
0