-
- いいね!423
Hiromitsu Takagi
@HiromitsuTakagi
接種券番号・生年月日リストを得て確認しようにも、生年月日空間が1万通り程度しかないので、(ドコモ口座事件で検討したように)リバースブルートフォースで当てられてしまう。それを十分に防ぐには接種券番号をスパースにしないといけなくて、ランダム生成で20桁ほど必要。 twitter.com/h_okumura/stat…
2021-05-18 09:42:17
Haruhiko Okumura
@h_okumura
チェックするには,各自治体から接種券番号・生年月日のリストをもらわなければならないが,個人情報保護条例か何かでデータを防衛省に渡せないなら,「システム改修は困難」は嘘ではないのかも
2021-05-17 22:35:52
Hiromitsu Takagi
@HiromitsuTakagi
マイナンバーを使っても防げない(マイナンバーカードによるログインなら防げるが、全員が利用できるわけではないので採用できない)。それどころか、生年月日とマイナンバーの組を特定する機能として働いてしまい(去年のドコモ口座事件を見よ)重大な情報漏えいが発生する。 twitter.com/wakwaktintin/s…
2021-05-18 09:46:43
Hiromitsu Takagi
@HiromitsuTakagi
逆に言えば、今回のシステムは、何らの事前チェックを行わないことから、そこからの情報漏えい(ドコモ口座事件で露呈した、ゆうちょ銀行のシステムが、認証機能自体が登録情報の漏えいを引き起こしたように)が発生しないシステムになっているとも言える。 twitter.com/HiromitsuTakag…
2021-05-18 09:58:02
Hiromitsu Takagi
@HiromitsuTakagi
ただし、この問題(「生年月日の空間が1万通り程度なので4桁暗証番号問題…」)があるため、正規に予約した人の予約状況が、ロックをかけたとしてもリバースブルートフォース攻撃によって、1万分の1程度の割合で閲覧されてしまう。ロックがなければ、全て閲覧され得る。 twitter.com/HiromitsuTakag…
2021-05-18 10:14:41
Hiromitsu Takagi
@HiromitsuTakagi
「同じ番号入れるとその前の予約がキャンセル」は事実でないのでは? 各接種券番号について初回登録時に入力された生年月日を入力しないと「マイページ」に行けないようになっているように見える。(もっとも、生年月日の空間が1万通り程度なので4桁暗証番号問題はある。) togetter.com/li/1716106 pic.twitter.com/uubTbzaXnb
2021-05-18 09:00:12
Hiromitsu Takagi
@HiromitsuTakagi
もっとも、閲覧されても問題ないレベルとも言い得る。ただし、本人が接種券番号を公開したりすると、生年月日を特定される(とともに、接種予約の状況を知られる)ことにはなり得る。 twitter.com/oohamazaki/sta…
2021-05-18 10:22:03
大濱﨑 卓真
@oohamazaki
あ、もちろん上記は大規模接種センター(東京)で接種した場合に限ります。自治体コードと接種券番号の都合16桁の組み合わせで見てるけれど、SNSにアップしたら居住自治体分かれば結局接種履歴が明らかになるから、やっぱりやべえ。総当たり...とか...考えたくもない...やっぱり、かなりやばい。
2021-05-17 20:25:56
Hiromitsu Takagi
@HiromitsuTakagi
漏えいの観点では、最悪ケースの想定として、攻撃者により、全ての接種券番号についてのこの画面の情報と生年月日の組みがリスト化され、暴露されたとして、それがどうなんだ?ということになる。 twitter.com/oohamazaki/sta…
2021-05-18 10:27:09
大濱﨑 卓真
@oohamazaki
なお、自治体コード「123456」接種券番号「1234567890」でマイページ見るとこんな感じ。キャンセルになってるのは、報道記者など実際に予約できるか最後まで試した人たち。これは実在しないダミー文字列だけど、SNSに「ワクチンきたこれ」とか言って接種券アップしたら、これらの情報は漏洩する。 pic.twitter.com/8T4uGHUYVO
2021-05-17 20:46:21