不具合報告のスキームとして世界的なルールを守ってないのだから同社を擁護はできない、不具合を通告と猶予期間なしで公開するのは完全に攻撃だからね。

扶桑委員会 @fussoo_moe

ただ某マスコミみたく悪意を持って予約乱発されると流石に現場での運用でカバーできる範囲を超える。ただそういう悪意を持ってやる人間には事後的に対応すればいいという割り切りなんだろう。準備期間短いからね、仕方ないね

扶桑委員会 @fussoo_moe

防衛大臣がブチギレてるのは要件定義の段階でこういった悪意を持って予約システムを使う人間が出ることを予見していたからと、それをやったのがよりによってマスコミたから。予想してなかったら怒る前に突然の予想外の事態に困惑する。

Lyiase @lyiase

不具合報告のスキームとして、以下のようなルールが世界的に運用されてるのに、それを守ってないのだから同社を擁護はできないね。 1.問題を発見 2.PoC/再現方法を作り非公開で通告 3.ユーザーに被害が出るゼロデイが出た時点で「再現方法は提示せず」警告 4.修正された時点で詳細の再現方法を公開 twitter.com/Polaris_sky/st…

Lyiase @lyiase

不具合を通告と猶予期間なしで公開するのは、完全に攻撃だからね。

あゆゆん♪ @ayu_littlewing

彼らのやったことを「善意のデバッガー」だと思っているのならそれこそ倫理崩壊である。 これほど影響の強いシステムのセキュリティインシデントなら、本来は開発元やIPAに報告した上で然るべき手順を取って公開する必要がある。 「こうすればぶっ壊せるぜ！！」とネットに晒すのはただのテロリスト twitter.com/deep_m_a/statu…

しの @SH1N0

過去、こういう公開方法を選んだ人間が逮捕されて有罪食らった事例があるから眉を潜めてるわけなんだけど。 その反省から作られた悪意がない事を証明する手段があるのに、その手段を取らなかった以上、訴えられても自分で悪意がない事や公益性を証明してくださいね？って話。

あゆゆん♪ @ayu_littlewing

例えば今回の件、発見者がまともなルートでIPAなりに通報していたとすれば、一般的なフローでは ・発見者には一定期間の口外禁止期間が設定される ・IPAから開発元に連絡があり、修正期日とできなかった場合、セキュリティ事案として公表される旨の通知がある ってフローを経てのやっと公表になる。

あゆゆん♪ @ayu_littlewing

これはセキュリティリスクがあることを理解した上で、それを安易に公表して愉快犯やアタッカーが攻撃することを防ぐための対策なのだけど、今回マスコミがやったことはこの手の安全策をすべてガン無視して公表してしまった。 そのせいで実際、公表された手順でのアタックが発生している。

Kanji @kanjinagay

防衛大臣の抗議もずれてるし、予約キャンセルしたからOKというのもずれている。 じゃなくて、問題は誰でも簡単に真似できることを非常に具体的に書いて、いきなり拡散してしまったこと。 不具合を見つけた場合は、まず管理側に連絡し、システムの問題が修正できたことを確認後に報道＆批判でしょ。 twitter.com/dragoner_JP/st…

dragoner @dragoner_JP

今回の件、元々無理ゲー案件だったと思うので防衛省には気の毒であるけど、防衛大臣の逆ギレは見苦しいというか…。しかも「接種機会を奪い」とツイートしているけど、あれメディアは予約キャンセルしてる事を恐らく意図的に書いてないしなあ…

2021-05-18 11:27:41

sis_sis @sis_sis

記事化する前に連絡を取って改善を促し、それも含めて報じるという手法もあります。 twitter.com/nmcmnc/status/…

tkq @tkq12

ワクチン予約システムの状況がすごいんだけど、こういう時のために国民1人1人に重複しない番号を与えてサービスを簡便に受けさせて行政側の労力も大幅に減らそうっていう制度を導入しようとしたことがあるんですよね、日本も。マイナンバーっていうんですけど。

へつ @hetsu256

「発見者が、製品作成者やウェブサイト製作者と協調して脆弱性開示、対策をする」というのは、問題発見時の基本中の基本です。 「相手に知らせないまま脆弱性情報を公開すること」は、最も行ってはいけないことです。 ipa.go.jp/files/00007798… twitter.com/nmcmnc/status/… pic.twitter.com/rUEdjTgd1n

緑の能町みね子🏳️‍🌈 @nmcmnc

「もしもし、すいません、防衛省さんですか？朝日新聞のものなんですけどー、システム間違ってるから直したほうがいいとおもいますよ」って電話するんですか？本気で言ってるんですか？ twitter.com/langweiligerma…

2021-05-18 11:23:47

拡大

白瀬伸一(Utari Epunkinekur) @ChromeBranche

法令遵守って言葉を知らないのか twitter.com/SUMIREH176/sta…

伊吹夷子🤍💙❤ @SUMIREH176

@Marida_777 @KishiNobuo 不当なのは、常識の範囲内の取材に対し、刑罰をほのめかされる側かと思われます。

2021-05-18 12:22:59

ジョンお姉さんⅡ @Q0BuL8pJ8yfBbK6

AERA読んで調子こいてワクチンの不正予約を適当な番号で連発でやって、番号控えてなくてキャンセルできなくなって、政府が法的措置を言い出して青くなってる奴何人いるんだろうか？ｗ

nishina555 @nishina555

ワクチン予約システムの脆弱性が話題になっていますが、システムの脆弱性を発見したらSNSなどでいきなり公開せずに運営者に直接報告するのが原則です。 脆弱性を見つけた時の適切な対応方法についてはIPA(@IPAjp)から公開されている動画が参考になります。 youtube.com/watch?v=ZQnR3j… pic.twitter.com/AHoF4TNwTj

拡大

高千穂 伊織 @t_iori

調査の段階でうっかりついたとかならまだ擁護のしようもあるけど、つつきすぎたけど感謝しろとかもうクソ説教強盗の亜種でしか無いな。 わずかなワクチン廃棄ですら大問題のこのご時世に、文句言われないわけ無いだろうに。「多少の破棄くらい仕方ない」とか報じてからにしろと。 twitter.com/nonbeepanda/st…

岩永直子 Naoko Iwanaga @nonbeepanda

酷いな。自分たちのシステムに穴があることを指摘されてこの反応。むしろ初期にこんな問題があると気づいてくれたことに感謝して、真摯に対応すべきだろうに。 twitter.com/KishiNobuo/sta…

2021-05-18 09:33:10

産経ニュース @Sankei_news

「面白半分に予約を邪魔」　河野氏、朝日新聞出版と毎日念頭に sankei.com/politics/news/… 「一部の報道で、６５歳以上でない方が面白半分に予約を取って６５歳以上の方の予約を邪魔し、それを誇っているかのような行動があったので、自衛隊から抗議が出されたと承知している」

伊藤 祐策(パソコンの大先生) @ito_yusaku

【問題】他人様のシステムに対して悪戯をした場合、刑事訴訟か民事訴訟のどちらかを受けることになる。〇か×か？ 【回答】×　両方の訴訟を同時に受けることもある。

シゲヤス℗ @am_bad_ass

システムがザルであっても、そのシステムが悪用されかねない指南的記事を「穴を見つけてあげた」という言い方で擁護するのはちょっと違うのでは。いやだいぶ違うのでは。