高木浩光氏のワクチン予約サイトの問題への見解

ざっくり言うとこういうセキュリティ的なことの第一人者的な人の見解です
147
Hiromitsu Takagi @HiromitsuTakagi

これはしょうがない。緊急時なのだし(情報漏洩が起きるわけでない限り)このままいくしかない。ただ、こういう事実があることは周知されていた方がよい。 dot.asahi.com/dot/2021051700…

2021-05-17 23:02:01
Hiromitsu Takagi @HiromitsuTakagi

識別符号(アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号≒パスワード)がないので、不正アクセス禁止法が禁ずる行為には当たらないが、虚偽内容で予約するのは、人の事務処理を誤らせる目的で行えば電磁的記録不正作出・供用罪。 twitter.com/yasushia/statu…

2021-05-17 23:05:37
Yasushi Abe @yasushia

電磁的記録不正作出及び供用の罪という可能性はないんだろうか 。JPRSのドメイン移管の悪用のときにそんな話題が twitter.com/HiromitsuTakag… twitter.com/h_okumura/stat…

2021-05-17 20:19:10
Hiromitsu Takagi @HiromitsuTakagi

不正アクセス禁止法違反行為の場合は、新聞報道であろうとも事実確認のため他人のパスワードでログインした時点で罪を構成する(かつての遠隔操作事件での書類送検事案あり)が、電磁的記録不正作出供用罪の場合は、キャンセルしたならば、人の事務処理を誤らせる目的があったことにはならないだろう。

2021-05-17 23:08:07
Hiromitsu Takagi @HiromitsuTakagi

予約のある人なのかはどうせ現場で目視確認するのだから、入力ミスによる予約であることはどうにか判断できそう(いや、確実に確認しないで進めちゃっていいだろう)か。こういうことが起き得るシステムだということは周知されていた方がよいtwitter.com/takoratta/stat…

2021-05-17 23:15:12
及川卓也 / Takuya Oikawa @takoratta

大規模接種で架空の接種券番号で予約ができてしまう問題は、故意に架空の番号で予約する悪意ある行為よりも、普通に予約しようとした人が間違って接種券番号を入力して取れた予約で無事に接種できるかが気になる。善意の人の間違いをシステムが弾かなかったために無かったことにされるのは避けたい。

2021-05-17 20:50:34
Hiromitsu Takagi @HiromitsuTakagi

接種券と予約方式の設計を1年前からやっておくべきだったということでしょうね。 twitter.com/Ichiro_leadoff…

2021-05-18 09:30:47
Hiromitsu Takagi @HiromitsuTakagi

出鱈目。個人情報保護法制の公的部門のルール(地方公共団体の条例を含む)は、目的内の提供を制限していない。 twitter.com/h_okumura/stat…

2021-05-18 09:36:05
Haruhiko Okumura @h_okumura

チェックするには,各自治体から接種券番号・生年月日のリストをもらわなければならないが,個人情報保護条例か何かでデータを防衛省に渡せないなら,「システム改修は困難」は嘘ではないのかも

2021-05-17 22:35:52
Hiromitsu Takagi @HiromitsuTakagi

接種券番号・生年月日リストを得て確認しようにも、生年月日空間が1万通り程度しかないので、(ドコモ口座事件で検討したように)リバースブルートフォースで当てられてしまう。それを十分に防ぐには接種券番号をスパースにしないといけなくて、ランダム生成で20桁ほど必要。 twitter.com/h_okumura/stat…

2021-05-18 09:42:17
Hiromitsu Takagi @HiromitsuTakagi

マイナンバーを使っても防げない(マイナンバーカードによるログインなら防げるが、全員が利用できるわけではないので採用できない)。それどころか、生年月日とマイナンバーの組を特定する機能として働いてしまい(去年のドコモ口座事件を見よ)重大な情報漏えいが発生する。 twitter.com/wakwaktintin/s…

2021-05-18 09:46:43
Hiromitsu Takagi @HiromitsuTakagi

逆に言えば、今回のシステムは、何らの事前チェックを行わないことから、そこからの情報漏えい(ドコモ口座事件で露呈した、ゆうちょ銀行のシステムが、認証機能自体が登録情報の漏えいを引き起こしたように)が発生しないシステムになっているとも言える。 twitter.com/HiromitsuTakag…

2021-05-18 09:58:02
Hiromitsu Takagi @HiromitsuTakagi

ただし、この問題(「生年月日の空間が1万通り程度なので4桁暗証番号問題…」)があるため、正規に予約した人の予約状況が、ロックをかけたとしてもリバースブルートフォース攻撃によって、1万分の1程度の割合で閲覧されてしまう。ロックがなければ、全て閲覧され得る。 twitter.com/HiromitsuTakag…

2021-05-18 10:14:41
Hiromitsu Takagi @HiromitsuTakagi

「同じ番号入れるとその前の予約がキャンセル」は事実でないのでは? 各接種券番号について初回登録時に入力された生年月日を入力しないと「マイページ」に行けないようになっているように見える。(もっとも、生年月日の空間が1万通り程度なので4桁暗証番号問題はある。) togetter.com/li/1716106 pic.twitter.com/uubTbzaXnb

2021-05-18 09:00:12
Hiromitsu Takagi @HiromitsuTakagi

もっとも、閲覧されても問題ないレベルとも言い得る。ただし、本人が接種券番号を公開したりすると、生年月日を特定される(とともに、接種予約の状況を知られる)ことにはなり得る。 twitter.com/oohamazaki/sta…

2021-05-18 10:22:03
大濱﨑 卓真 @oohamazaki

あ、もちろん上記は大規模接種センター(東京)で接種した場合に限ります。自治体コードと接種券番号の都合16桁の組み合わせで見てるけれど、SNSにアップしたら居住自治体分かれば結局接種履歴が明らかになるから、やっぱりやべえ。総当たり...とか...考えたくもない...やっぱり、かなりやばい。

2021-05-17 20:25:56
Hiromitsu Takagi @HiromitsuTakagi

漏えいの観点では、最悪ケースの想定として、攻撃者により、全ての接種券番号についてのこの画面の情報と生年月日の組みがリスト化され、暴露されたとして、それがどうなんだ?ということになる。 twitter.com/oohamazaki/sta…

2021-05-18 10:27:09
大濱﨑 卓真 @oohamazaki

なお、自治体コード「123456」接種券番号「1234567890」でマイページ見るとこんな感じ。キャンセルになってるのは、報道記者など実際に予約できるか最後まで試した人たち。これは実在しないダミー文字列だけど、SNSに「ワクチンきたこれ」とか言って接種券アップしたら、これらの情報は漏洩する。 pic.twitter.com/8T4uGHUYVO

2021-05-17 20:46:21
Hiromitsu Takagi @HiromitsuTakagi

入力させないというのは生年月日をという話?究極的にはそうだけど、さすがに接種券番号(スパースでないシリアル番号)だけで登録・閲覧・キャンセルというのは、アレすぎる。生年月日がなんちゃって「認証」っぽく振舞っているのが誤解を与えてよくないというのはそうだが。 twitter.com/Sheetcalc/stat…

2021-05-18 12:28:58
Sheetcalc 公式アカウント @Sheetcalc

@HiromitsuTakagi そもそもチェックしない項目に入力させるのがおかしいと思います。 接種券を持っているかチェックボックスにチェックさせて、「当日忘れずにお持ちください」でよかったのではないかと思う。

2021-05-18 10:05:35
Hiromitsu Takagi @HiromitsuTakagi

「善意に頼った」もなにもごく普通。不正申請を刑罰により抑制することで成立しているシステムはいくらでもある。(ただし漏えいが起きる場合はそれでは済まされない。) 特にパンデミックという緊急時においてならなおさら。 twitter.com/cheenanet/stat…

2021-05-18 12:39:53
Cheena @cheenanet

「善意に頼ったシンプルな予約システム」っていうのめっちゃいいな。善意に頼った持続化給付金ってやつもありましたね… twitter.com/mainichi/statu…

2021-05-17 21:22:40
Hiromitsu Takagi @HiromitsuTakagi

最初の記事が「予約枠だけ占拠して、当日誰も行かなければ、大量のワクチンがムダに…まさにワクチンテロが出来てしまいます」と言うように、業務妨害の観点では、①予約枠の占拠の他に②接種券番号の先取り占拠の妨害があり得る。いずれも電磁的記録不正作出・供用罪および偽計業務妨害で取り締まる。

2021-05-18 12:34:22
Hiromitsu Takagi @HiromitsuTakagi

妨害発生時の運用は準備しておかねばならない。①の妨害については、状況を見て予約枠を増やす調整をすればいい。完全に規定通りの人数にワクチン投与する必要性はなく、1日に可能な範囲で投与すればいいし、あぶれた人に後日お願いすることもやむを得ない。 twitter.com/HiromitsuTakag…

2021-05-18 12:42:02
Hiromitsu Takagi @HiromitsuTakagi

厄介なのは②の妨害。それが起きるシステムである旨を広く周知し苦情を受け付けて対処するしかない。大量に発生している場合は可能な範囲で検知してリセットするが、分散緩行型で来ると判別できない(がreCAPTCHAは設置されている)が、その時はその時。その事態の発生自体は苦情等から把握する必要。

2021-05-18 13:22:02
Hiromitsu Takagi @HiromitsuTakagi

妨害の分類を修正(3つ目を追加) ①予約枠の占拠 ②接種券番号の先取り占拠 ③正規予約の不正キャンセル ③の妨害については、そいうことが起き得る旨を会場の受付が理解し、キャンセルされた(又は(接種券番号入力を間違えたか)登録のない)来場者について、そのままワクチン投与すればよい。

2021-05-18 12:50:29
Hiromitsu Takagi @HiromitsuTakagi

外国からの妨害型サイバー攻撃に対しては、知らんふりする(何ら堪えていないようにみせる)ことも防衛として重要。 twitter.com/guillemet0u0/s…

2021-05-18 13:39:49
ライナス⚡( ´ᾥ` )🍆米株仮面🇺🇸 @guillemet0u0

他国の脅威も取り締まれるんだろうか。悪意に塗れた現代において「人の善意」に頼るのは無理があるかと。もちろん法と罰で脅しをかけて善意っぽいものを引き出すことはできるけど、法も罰も通用しない連中は悪意のままに好き放題できちゃうしなぁ。 twitter.com/HiromitsuTakag…

2021-05-18 13:02:28
Hiromitsu Takagi @HiromitsuTakagi

こんな仕様、誰にでもすぐわかるのに、隠す意味などない。この人でもそんなことがわからないの? twitter.com/otsune/status/…

2021-05-18 14:26:43
ǝunsʇo ıɯnɟɐsɐɯ / メタバース炎上対策専門家 @otsune

あのラジオライフですら、どこまで書いたらまずいのかを判断する技術的知識はあって、テレホンカード偽造とか無賃乗車の裏技記事はワザと再現できないように細部はボカしてたんだよね。 ワクチン予約不具合記事はそのへんの技術的知識が無かったか(そもそも隠すつもりが無かったのかもしれないけど)

2021-05-18 13:12:45
Hiromitsu Takagi @HiromitsuTakagi

出鱈目。基本的にIPAの脆弱性届出制度は、DoSを問題にしていない(迷いつつ受け付けてはいる)。なぜなら、サービスが機能しなくなることは当該サービス提供者の自業自得であって、情報漏えいの脆弱性など国民に被害が及ぶものについて届出を受け付けるとしているものだから。 twitter.com/ayu_littlewing…

2021-05-18 14:31:16
あゆゆん♪ @ayu_littlewing

自称ネットワークエンジニアの方にこのレベルの説明をするのもアホらしいのでこれで終わりにしますが、今回の件に限らず一般的に推奨されている脆弱性報告の手順としてはIPAの届出窓口があるのでそちらを利用しましょうね。 ネットやTwitterに晒すのは被害拡大の元です。 ipa.go.jp/security/vuln/… t.co/CpDR2sG41L

2021-05-18 12:24:05
Hiromitsu Takagi @HiromitsuTakagi

見つけたら報告が義務なわけではない。自身で運営元に通報するだけでも構わない(この制度は発見者が運営者より一般に弱者であることに鑑みて仲介するもの)(製品でなくWebの方の場合)し、直ちに事実を周知することの方が有益と考える場合には自己の責任でやってよいもの。 twitter.com/h_okumura/stat…

2021-05-18 14:45:27
Haruhiko Okumura @h_okumura

脆弱性を見つけたら晒す前にこちらに報告→ ipa.go.jp/security/vuln/…

2021-05-18 13:13:19
Hiromitsu Takagi @HiromitsuTakagi

今回の報道が行なった検証行為は、「本来のワクチン接種を希望する65歳以上の方の接種機会を奪」うものには至っておらず、用いられた手段も適法なもの。上記のように、本件システムがこのような仕様となっている事実が、運営の現場と利用する国民に広く周知されることが必要。 twitter.com/KishiNobuo/sta…

2021-05-18 15:06:39
岸 信夫 @KishiNobuo

自衛隊大規模接種センター予約の報道について。 今回、朝日新聞出版AERAドット及び毎日新聞の記者が不正な手段により予約を実施した行為は、本来のワクチン接種を希望する65歳以上の方の接種機会を奪い、貴重なワクチンそのものが無駄になりかねない極めて悪質な行為です。

2021-05-18 08:49:52
Hiromitsu Takagi @HiromitsuTakagi

現場の士気をいう点では、元記事の「防衛省関係者」の行動をどうにかされたた方がよろしいでしょう。 dot.asahi.com/dot/2021051700… 「…直後、「ワクチン予約に大変な欠陥が見つかった。システムのセキュリティが機能していない」(防衛省関係者)という情報が飛び込んできた」 twitter.com/KishiNobuo/sta…

2021-05-18 15:14:22
岸 信夫 @KishiNobuo

両社には防衛省から厳重に抗議いたします。 不正な手段でのワクチン接種の予約は、本当に希望する方の機会を喪失し、ワクチンが無駄になりかねないと同時に、この国難ともいうべき状況で懸命に対応にあたる部隊の士気を下げ、現場の混乱を招くことにも繋がります。

2021-05-18 08:56:45
Hiromitsu Takagi @HiromitsuTakagi

この仕様を現場に周知しなければ、実際に不正キャンセルや誤入力での誤登録が起きているときに、「あなたは予約されていません。コンピュータは正確です。間違いありません。」と追い返すことになってしまうし、国民に周知されていなければ、それに反論することもできない。 twitter.com/HiromitsuTakag…

2021-05-18 15:46:23