正当な利用目的外の「確認作業」は公益性が高い?それとも偽計業務妨害?/毎日新聞や朝日新聞系のAERAが手段を詳しく伝えた「ワクチン架空予約」が可能な予約システムの挙動について
-
- いいね!0
Hiromitsu Takagi
@HiromitsuTakagi
マイナンバーを使っても防げない(マイナンバーカードによるログインなら防げるが、全員が利用できるわけではないので採用できない)。それどころか、生年月日とマイナンバーの組を特定する機能として働いてしまい(去年のドコモ口座事件を見よ)重大な情報漏えいが発生する。 twitter.com/wakwaktintin/s…
2021-05-18 09:46:43
Hiromitsu Takagi
@HiromitsuTakagi
逆に言えば、今回のシステムは、何らの事前チェックを行わないことから、そこからの情報漏えい(ドコモ口座事件で露呈した、ゆうちょ銀行のシステムが、認証機能自体が登録情報の漏えいを引き起こしたように)が発生しないシステムになっているとも言える。 twitter.com/HiromitsuTakag…
2021-05-18 09:58:02
Hiromitsu Takagi
@HiromitsuTakagi
ただし、この問題(「生年月日の空間が1万通り程度なので4桁暗証番号問題…」)があるため、正規に予約した人の予約状況が、ロックをかけたとしてもリバースブルートフォース攻撃によって、1万分の1程度の割合で閲覧されてしまう。ロックがなければ、全て閲覧され得る。 twitter.com/HiromitsuTakag…
2021-05-18 10:14:41
Hiromitsu Takagi
@HiromitsuTakagi
「同じ番号入れるとその前の予約がキャンセル」は事実でないのでは? 各接種券番号について初回登録時に入力された生年月日を入力しないと「マイページ」に行けないようになっているように見える。(もっとも、生年月日の空間が1万通り程度なので4桁暗証番号問題はある。) togetter.com/li/1716106 pic.twitter.com/uubTbzaXnb
2021-05-18 09:00:12
Hiromitsu Takagi
@HiromitsuTakagi
もっとも、閲覧されても問題ないレベルとも言い得る。ただし、本人が接種券番号を公開したりすると、生年月日を特定される(とともに、接種予約の状況を知られる)ことにはなり得る。 twitter.com/oohamazaki/sta…
2021-05-18 10:22:03
大濱﨑 卓真
@oohamazaki
あ、もちろん上記は大規模接種センター(東京)で接種した場合に限ります。自治体コードと接種券番号の都合16桁の組み合わせで見てるけれど、SNSにアップしたら居住自治体分かれば結局接種履歴が明らかになるから、やっぱりやべえ。総当たり...とか...考えたくもない...やっぱり、かなりやばい。
2021-05-17 20:25:56
Hiromitsu Takagi
@HiromitsuTakagi
漏えいの観点では、最悪ケースの想定として、攻撃者により、全ての接種券番号についてのこの画面の情報と生年月日の組みがリスト化され、暴露されたとして、それがどうなんだ?ということになる。 twitter.com/oohamazaki/sta…
2021-05-18 10:27:09
大濱﨑 卓真
@oohamazaki
なお、自治体コード「123456」接種券番号「1234567890」でマイページ見るとこんな感じ。キャンセルになってるのは、報道記者など実際に予約できるか最後まで試した人たち。これは実在しないダミー文字列だけど、SNSに「ワクチンきたこれ」とか言って接種券アップしたら、これらの情報は漏洩する。 pic.twitter.com/8T4uGHUYVO
2021-05-17 20:46:21
Hiromitsu Takagi
@HiromitsuTakagi
入力させないというのは生年月日をという話?究極的にはそうだけど、さすがに接種券番号(スパースでないシリアル番号)だけで登録・閲覧・キャンセルというのは、アレすぎる。生年月日がなんちゃって「認証」っぽく振舞っているのが誤解を与えてよくないというのはそうだが。 twitter.com/Sheetcalc/stat…
2021-05-18 12:28:58
Sheetcalc 公式アカウント
@Sheetcalc
@HiromitsuTakagi そもそもチェックしない項目に入力させるのがおかしいと思います。 接種券を持っているかチェックボックスにチェックさせて、「当日忘れずにお持ちください」でよかったのではないかと思う。
2021-05-18 10:05:35
Hiromitsu Takagi
@HiromitsuTakagi
最初の記事が「予約枠だけ占拠して、当日誰も行かなければ、大量のワクチンがムダに…まさにワクチンテロが出来てしまいます」と言うように、業務妨害の観点では、①予約枠の占拠の他に②接種券番号の先取り占拠の妨害があり得る。いずれも電磁的記録不正作出・供用罪および偽計業務妨害で取り締まる。
2021-05-18 12:34:22
Hiromitsu Takagi
@HiromitsuTakagi
「善意に頼った」もなにもごく普通。不正申請を刑罰により抑制することで成立しているシステムはいくらでもある。(ただし漏えいが起きる場合はそれでは済まされない。) 特にパンデミックという緊急時においてならなおさら。 twitter.com/cheenanet/stat…
2021-05-18 12:39:53
Cheena
@cheenanet
「善意に頼ったシンプルな予約システム」っていうのめっちゃいいな。善意に頼った持続化給付金ってやつもありましたね… twitter.com/mainichi/statu…
2021-05-17 21:22:40
Hiromitsu Takagi
@HiromitsuTakagi
妨害発生時の運用は準備しておかねばならない。①の妨害については、状況を見て予約枠を増やす調整をすればいい。完全に規定通りの人数にワクチン投与する必要性はなく、1日に可能な範囲で投与すればいいし、あぶれた人に後日お願いすることもやむを得ない。 twitter.com/HiromitsuTakag…
2021-05-18 12:42:02
Hiromitsu Takagi
@HiromitsuTakagi
妨害の分類を修正(3つ目を追加) ①予約枠の占拠 ②接種券番号の先取り占拠 ③正規予約の不正キャンセル ③の妨害については、そいうことが起き得る旨を会場の受付が理解し、キャンセルされた(又は(接種券番号入力を間違えたか)登録のない)来場者について、そのままワクチン投与すればよい。
2021-05-18 12:50:29
Hiromitsu Takagi
@HiromitsuTakagi
厄介なのは②の妨害。それが起きるシステムである旨を広く周知し苦情を受け付けて対処するしかない。大量に発生している場合は可能な範囲で検知してリセットするが、分散緩行型で来ると判別できない(がreCAPTCHAは設置されている)が、その時はその時。その事態の発生自体は苦情等から把握する必要。
2021-05-18 13:22:02
Hiromitsu Takagi
@HiromitsuTakagi
外国からの妨害型サイバー攻撃に対しては、知らんふりする(何ら堪えていないようにみせる)ことも防衛として重要。 twitter.com/guillemet0u0/s…
2021-05-18 13:39:49
ライナス⚡( ´ᾥ` )🍆米株仮面🇺🇸
@guillemet0u0
他国の脅威も取り締まれるんだろうか。悪意に塗れた現代において「人の善意」に頼るのは無理があるかと。もちろん法と罰で脅しをかけて善意っぽいものを引き出すことはできるけど、法も罰も通用しない連中は悪意のままに好き放題できちゃうしなぁ。 twitter.com/HiromitsuTakag…
2021-05-18 13:02:28
Hiromitsu Takagi
@HiromitsuTakagi
こんな仕様、誰にでもすぐわかるのに、隠す意味などない。この人でもそんなことがわからないの? twitter.com/otsune/status/…
2021-05-18 14:26:43
ǝunsʇo ıɯnɟɐsɐɯ / メタバース炎上対策専門家
@otsune
あのラジオライフですら、どこまで書いたらまずいのかを判断する技術的知識はあって、テレホンカード偽造とか無賃乗車の裏技記事はワザと再現できないように細部はボカしてたんだよね。 ワクチン予約不具合記事はそのへんの技術的知識が無かったか(そもそも隠すつもりが無かったのかもしれないけど)
2021-05-18 13:12:45
Hiromitsu Takagi
@HiromitsuTakagi
出鱈目。基本的にIPAの脆弱性届出制度は、DoSを問題にしていない(迷いつつ受け付けてはいる)。なぜなら、サービスが機能しなくなることは当該サービス提供者の自業自得であって、情報漏えいの脆弱性など国民に被害が及ぶものについて届出を受け付けるとしているものだから。 twitter.com/ayu_littlewing…
2021-05-18 14:31:16
あゆゆん♪
@ayu_littlewing
自称ネットワークエンジニアの方にこのレベルの説明をするのもアホらしいのでこれで終わりにしますが、今回の件に限らず一般的に推奨されている脆弱性報告の手順としてはIPAの届出窓口があるのでそちらを利用しましょうね。 ネットやTwitterに晒すのは被害拡大の元です。 ipa.go.jp/security/vuln/… t.co/CpDR2sG41L
2021-05-18 12:24:05
Hiromitsu Takagi
@HiromitsuTakagi
見つけたら報告が義務なわけではない。自身で運営元に通報するだけでも構わない(この制度は発見者が運営者より一般に弱者であることに鑑みて仲介するもの)(製品でなくWebの方の場合)し、直ちに事実を周知することの方が有益と考える場合には自己の責任でやってよいもの。 twitter.com/h_okumura/stat…
2021-05-18 14:45:27
Hiromitsu Takagi
@HiromitsuTakagi
今回の報道が行なった検証行為は、「本来のワクチン接種を希望する65歳以上の方の接種機会を奪」うものには至っておらず、用いられた手段も適法なもの。上記のように、本件システムがこのような仕様となっている事実が、運営の現場と利用する国民に広く周知されることが必要。 twitter.com/KishiNobuo/sta…
2021-05-18 15:06:39
岸 信夫
@KishiNobuo
自衛隊大規模接種センター予約の報道について。 今回、朝日新聞出版AERAドット及び毎日新聞の記者が不正な手段により予約を実施した行為は、本来のワクチン接種を希望する65歳以上の方の接種機会を奪い、貴重なワクチンそのものが無駄になりかねない極めて悪質な行為です。
2021-05-18 08:49:52
Hiromitsu Takagi
@HiromitsuTakagi
現場の士気をいう点では、元記事の「防衛省関係者」の行動をどうにかされたた方がよろしいでしょう。 dot.asahi.com/dot/2021051700… 「…直後、「ワクチン予約に大変な欠陥が見つかった。システムのセキュリティが機能していない」(防衛省関係者)という情報が飛び込んできた」 twitter.com/KishiNobuo/sta…
2021-05-18 15:14:22
岸 信夫
@KishiNobuo
両社には防衛省から厳重に抗議いたします。 不正な手段でのワクチン接種の予約は、本当に希望する方の機会を喪失し、ワクチンが無駄になりかねないと同時に、この国難ともいうべき状況で懸命に対応にあたる部隊の士気を下げ、現場の混乱を招くことにも繋がります。
2021-05-18 08:56:45
Hiromitsu Takagi
@HiromitsuTakagi
この仕様を現場に周知しなければ、実際に不正キャンセルや誤入力での誤登録が起きているときに、「あなたは予約されていません。コンピュータは正確です。間違いありません。」と追い返すことになってしまうし、国民に周知されていなければ、それに反論することもできない。 twitter.com/HiromitsuTakag…
2021-05-18 15:46:23
Hiromitsu Takagi
@HiromitsuTakagi
この主張は矛盾している。現にシステムがmrso.jpにある(.go.jpでなく)通り、data controllerは防衛省でなく当該民間業者となっており、それで良いのであれば、「全市長区町村が管理する接種券番号…を把握し…照合」は民間がすること。 twitter.com/KishiNobuo/sta…
2021-05-18 16:21:20
岸 信夫
@KishiNobuo
本センターの予約システムで、不正な手段による虚偽予約を完全に防止する為には、全市長区町村が管理する接種券番号を含む個人情報を予め防衛省が把握し、予約番号と照合する必要があり、実施まで短期間等の観点から困難かつ、全国民の個人情報を防衛省が把握する事は適切でないと判断いたしました。
2021-05-18 08:59:40
Hiromitsu Takagi
@HiromitsuTakagi
逆に「全国民の個人情報を防衛省が把握する事は適切でない」を言うのであれば、防衛省が運営者だということであり、防衛省がdata controllerとなって、.go.jp下で運用しなければならない。 twitter.com/HiromitsuTakag…
2021-05-18 16:28:49
Hiromitsu Takagi
@HiromitsuTakagi
また、「全市長区町村が管理する接種券番号を含む個人情報(引用時注:生年月日)を予め防衛省が把握し、予約番号と照合する」することも(目的内の利用である限り)問題がないと言うべきである。(政治的にそう言えないというのはあり得るが、乗り越えなければならない、) twitter.com/HiromitsuTakag…
2021-05-18 17:02:23
Hiromitsu Takagi
@HiromitsuTakagi
もっとも、前記のとおり、生年月日を把握しても、安全にはならない。接種券番号の生成方法からしてやり直さないと無理。
2021-05-18 17:04:00
Hiromitsu Takagi
@HiromitsuTakagi
ばかをいえ。いつもの平時からの啓蒙の段階ではない。これは有事だ。平時の啓蒙では、将来に良くない設計・実装が広がらないよう防止していくことが求められるが、パンデミック有事の今必要とされていることは、とにかくワクチンを投与するというゴールを実現する運用だろう。 twitter.com/flurry/status/…
2021-05-18 17:19:22
Hiromitsu Takagi
@HiromitsuTakagi
ハア?「罵倒」というのは君自身の頭の中にあるものではないのかね? twitter.com/Fukakusa_Cayce…
2021-05-18 17:20:14
Hiromitsu Takagi
@HiromitsuTakagi
同旨 twitter.com/HiromitsuTakag…
2021-05-18 17:28:09
Hiromitsu Takagi
@HiromitsuTakagi
なんで「アウト」だと思うんだろう? 自分がそう思って読んでいるからでは? twitter.com/candypop0124/s…
2021-05-17 18:59:36