-
- いいね!423
【悲報】防衛省のワクチン予約システム 早速ネット民のおもちゃに「SQLインジェクションできる」「同じ番号入れるとその..
あーあ
なお本当におもちゃにした場合は犯罪になりますので、くれぐれも笑って楽しむだけにしましょう。
373025 pv
6912
1171 users
1654
Shoko
@_okohs
公共のシステムにSQLインジェクションしちゃうような人は技術者倫理欠けてるので読んでほしい。IPA試験の法律周りの出典にもなってるものです。 // 技術士倫理綱領 engineer.or.jp/c_topics/000/0… pic.twitter.com/ZMWe4BI4NK
2021-05-18 10:25:35
拡大
徳丸 浩
@ockeghem
付け加えると、更新系処理のSQLインジェクションを「安全に」確認することも難しいです。試している人は「正義のため」という意識でやっているかもしれませんが、本番データ壊したら「正義」どころではないですからね twitter.com/ockeghem/statu…
2021-05-18 10:25:23
守銭童子
@syusen_douji
「外部者が合法的に確かめるのは難しい」これ重要。 安直に外部の者が確かめようとすると違法行為になるっての。 しかしSQLインジェクションって言葉を目にしたの久しぶり。 twitter.com/ockeghem/statu…
2021-05-18 10:13:38
よんてんごP
@yontengoP
SQLインジェクションの件、 一部では「いやさすがにガセでは」「2ch(現5ch)がソースじゃ信用できんわ…」って話になってるけど 「できらぁっ!!」って誰かが試すと即ギルティ案件なので、誰も試せずに「多分嘘だろ」「きっと本当では」つってるの シュレディンガーのインジェクション感があるな🤔 twitter.com/yontengoP/stat…
2021-05-18 10:39:10
よんてんごP
@yontengoP
新卒さんにSQLインジェクションとか それに絡む恐ろしさを伝えるのに コレ以上ないほどのタイムリーな教材なんだよなあ…🤔 togetter.com/li/1716106
2021-05-18 10:03:57
たままる@”鍛冶屋ではじめる異世界スローライフ”小説最新9巻、コミック最新4巻発売中!
@tamamaru
「SQLインジェクションなどを不正手段であると知りつつ実行した場合」は法に抵触する(不正アクセス禁止法)ので、マジでやらんようにね
2021-05-18 09:59:32
麹
@oryzae1824
防衛省ワクチン予約の件、SQLインジェクション等を一般人がイタズラ半分にやると、普通に犯罪です。防衛省相手にサイバー攻撃とか冗談にもならないので気をつけましょう。 pic.twitter.com/qSdnjkrpmB
2021-05-18 08:46:38
拡大
拡大
あかあお🇫🇷
@aka_ao_kiiro_02
警視庁のホームページでsqlインジェクションを利用した不正なアスセスは捕まるよって言ってるので遊び半分でアクセスしたらあかん npa.go.jp/hakusyo/h18/ho… pic.twitter.com/rG1yLBDHUi
2021-05-18 09:16:45
拡大
拡大
Haruhiko Okumura
@h_okumura
「他人の識別符号を入力」すれば不正アクセスだが,存在しないでたらめを入れるのは不正アクセスにならないんだろう,しらんけど twitter.com/nagataki/statu…
2021-05-17 19:48:52
Ntaki (Hiroyuki Nagataki, 長瀧寛之)
@nagataki
システムとしての完成度云々の議論は置いといて、管理者の事前許諾を得ずに実運用システムに意図的に虚偽データを投げ入れる行為って、法的にセーフなのか?不正アクセスの定義的にはどうだったか。 twitter.com/mainichi/statu…
2021-05-17 19:43:22
Hiromitsu Takagi
@HiromitsuTakagi
これはしょうがない。緊急時なのだし(情報漏洩が起きるわけでない限り)このままいくしかない。ただ、こういう事実があることは周知されていた方がよい。 dot.asahi.com/dot/2021051700…
2021-05-17 23:02:01
Hiromitsu Takagi
@HiromitsuTakagi
識別符号(アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号≒パスワード)がないので、不正アクセス禁止法が禁ずる行為には当たらないが、虚偽内容で予約するのは、人の事務処理を誤らせる目的で行えば電磁的記録不正作出・供用罪。 twitter.com/yasushia/statu…
2021-05-17 23:05:37
Yasushi Abe
@yasushia
電磁的記録不正作出及び供用の罪という可能性はないんだろうか 。JPRSのドメイン移管の悪用のときにそんな話題が twitter.com/HiromitsuTakag… twitter.com/h_okumura/stat…
2021-05-17 20:19:10
Hiromitsu Takagi
@HiromitsuTakagi
不正アクセス禁止法違反行為の場合は、新聞報道であろうとも事実確認のため他人のパスワードでログインした時点で罪を構成する(かつての遠隔操作事件での書類送検事案あり)が、電磁的記録不正作出供用罪の場合は、キャンセルしたならば、人の事務処理を誤らせる目的があったことにはならないだろう。
2021-05-17 23:08:07
Hiromitsu Takagi
@HiromitsuTakagi
予約のある人なのかはどうせ現場で目視確認するのだから、入力ミスによる予約であることはどうにか判断できそう(いや、確実に確認しないで進めちゃっていいだろう)か。こういうことが起き得るシステムだということは周知されていた方がよい。 twitter.com/takoratta/stat…
2021-05-17 23:15:12
及川卓也 / Takuya Oikawa
@takoratta
大規模接種で架空の接種券番号で予約ができてしまう問題は、故意に架空の番号で予約する悪意ある行為よりも、普通に予約しようとした人が間違って接種券番号を入力して取れた予約で無事に接種できるかが気になる。善意の人の間違いをシステムが弾かなかったために無かったことにされるのは避けたい。
2021-05-17 20:50:34
Hiromitsu Takagi
@HiromitsuTakagi
接種券と予約方式の設計を1年前からやっておくべきだったということでしょうね。 twitter.com/Ichiro_leadoff…
2021-05-18 09:30:47
Haruhiko Okumura
@h_okumura
チェックするには,各自治体から接種券番号・生年月日のリストをもらわなければならないが,個人情報保護条例か何かでデータを防衛省に渡せないなら,「システム改修は困難」は嘘ではないのかも
2021-05-17 22:35:52
Haruhiko Okumura
@h_okumura
未修正のすごい脆弱性をAERAがばらした twitter.com/dankogai/statu…
2021-05-17 19:33:05
Dan Kogai (小飼 弾)
@dankogai
「6桁の市区町村コードには「654321」、10桁の接種券番号には「9876543210」と適当に番号を入力。生年月日も「1956年1月1日」と適当に入力したところ、そのまま進めて、5月29日8時から予約が取れてしまった」接種券番号はとにかく市区町村コードもノーチェック? dot.asahi.com/dot/2021051700…
2021-05-17 18:37:25
Haruhiko Okumura
@h_okumura
きっと処理を軽くするために受付時にチェックせず,非同期のプロセスで後でチェックして落とすのだろう(いま作り込んでいるところかもしれない)
2021-05-17 19:44:49
Dan Kogai (小飼 弾)
@dankogai
@h_okumura 接種券番号が出鱈目でも会場で現物チェックすればいい(まあ接種券偽造もあり得なくはないけど)のでそこは多めに見るとしても、自治体コードと生年月日のチェックぐらいは後付けでも行けるはずなのだけど
2021-05-18 05:55:57
Hiromitsu Takagi
@HiromitsuTakagi
出鱈目。個人情報保護法制の公的部門のルール(地方公共団体の条例を含む)は、目的内の提供を制限していない。 twitter.com/h_okumura/stat…
2021-05-18 09:36:05