TwitterAPI有料化は可能な限り対応予定です。続報あり次第公式アカウントにて報告いたします。
2021年5月19日

高木浩光氏のワクチン予約サイトの問題への見解

ざっくり言うとこういうセキュリティ的なことの第一人者的な人の見解です
147
Hiromitsu Takagi @HiromitsuTakagi

これはしょうがない。緊急時なのだし(情報漏洩が起きるわけでない限り)このままいくしかない。ただ、こういう事実があることは周知されていた方がよい。 dot.asahi.com/dot/2021051700…

2021-05-17 23:02:01
Hiromitsu Takagi @HiromitsuTakagi

識別符号(アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号≒パスワード)がないので、不正アクセス禁止法が禁ずる行為には当たらないが、虚偽内容で予約するのは、人の事務処理を誤らせる目的で行えば電磁的記録不正作出・供用罪。 twitter.com/yasushia/statu…

2021-05-17 23:05:37
Hiromitsu Takagi @HiromitsuTakagi

不正アクセス禁止法違反行為の場合は、新聞報道であろうとも事実確認のため他人のパスワードでログインした時点で罪を構成する(かつての遠隔操作事件での書類送検事案あり)が、電磁的記録不正作出供用罪の場合は、キャンセルしたならば、人の事務処理を誤らせる目的があったことにはならないだろう。

2021-05-17 23:08:07
Hiromitsu Takagi @HiromitsuTakagi

予約のある人なのかはどうせ現場で目視確認するのだから、入力ミスによる予約であることはどうにか判断できそう(いや、確実に確認しないで進めちゃっていいだろう)か。こういうことが起き得るシステムだということは周知されていた方がよいtwitter.com/takoratta/stat…

2021-05-17 23:15:12
Hiromitsu Takagi @HiromitsuTakagi

接種券と予約方式の設計を1年前からやっておくべきだったということでしょうね。 twitter.com/Ichiro_leadoff…

2021-05-18 09:30:47
Hiromitsu Takagi @HiromitsuTakagi

出鱈目。個人情報保護法制の公的部門のルール(地方公共団体の条例を含む)は、目的内の提供を制限していない。 twitter.com/h_okumura/stat…

2021-05-18 09:36:05
Hiromitsu Takagi @HiromitsuTakagi

接種券番号・生年月日リストを得て確認しようにも、生年月日空間が1万通り程度しかないので、(ドコモ口座事件で検討したように)リバースブルートフォースで当てられてしまう。それを十分に防ぐには接種券番号をスパースにしないといけなくて、ランダム生成で20桁ほど必要。 twitter.com/h_okumura/stat…

2021-05-18 09:42:17
Hiromitsu Takagi @HiromitsuTakagi

マイナンバーを使っても防げない(マイナンバーカードによるログインなら防げるが、全員が利用できるわけではないので採用できない)。それどころか、生年月日とマイナンバーの組を特定する機能として働いてしまい(去年のドコモ口座事件を見よ)重大な情報漏えいが発生する。 twitter.com/wakwaktintin/s…

2021-05-18 09:46:43
Hiromitsu Takagi @HiromitsuTakagi

逆に言えば、今回のシステムは、何らの事前チェックを行わないことから、そこからの情報漏えい(ドコモ口座事件で露呈した、ゆうちょ銀行のシステムが、認証機能自体が登録情報の漏えいを引き起こしたように)が発生しないシステムになっているとも言える。 twitter.com/HiromitsuTakag…

2021-05-18 09:58:02
Hiromitsu Takagi @HiromitsuTakagi

ただし、この問題(「生年月日の空間が1万通り程度なので4桁暗証番号問題…」)があるため、正規に予約した人の予約状況が、ロックをかけたとしてもリバースブルートフォース攻撃によって、1万分の1程度の割合で閲覧されてしまう。ロックがなければ、全て閲覧され得る。 twitter.com/HiromitsuTakag…

2021-05-18 10:14:41
Hiromitsu Takagi @HiromitsuTakagi

もっとも、閲覧されても問題ないレベルとも言い得る。ただし、本人が接種券番号を公開したりすると、生年月日を特定される(とともに、接種予約の状況を知られる)ことにはなり得る。 twitter.com/oohamazaki/sta…

2021-05-18 10:22:03
Hiromitsu Takagi @HiromitsuTakagi

漏えいの観点では、最悪ケースの想定として、攻撃者により、全ての接種券番号についてのこの画面の情報と生年月日の組みがリスト化され、暴露されたとして、それがどうなんだ?ということになる。 twitter.com/oohamazaki/sta…

2021-05-18 10:27:09
Hiromitsu Takagi @HiromitsuTakagi

入力させないというのは生年月日をという話?究極的にはそうだけど、さすがに接種券番号(スパースでないシリアル番号)だけで登録・閲覧・キャンセルというのは、アレすぎる。生年月日がなんちゃって「認証」っぽく振舞っているのが誤解を与えてよくないというのはそうだが。 twitter.com/Sheetcalc/stat…

2021-05-18 12:28:58
Hiromitsu Takagi @HiromitsuTakagi

「善意に頼った」もなにもごく普通。不正申請を刑罰により抑制することで成立しているシステムはいくらでもある。(ただし漏えいが起きる場合はそれでは済まされない。) 特にパンデミックという緊急時においてならなおさら。 twitter.com/cheenanet/stat…

2021-05-18 12:39:53
Hiromitsu Takagi @HiromitsuTakagi

最初の記事が「予約枠だけ占拠して、当日誰も行かなければ、大量のワクチンがムダに…まさにワクチンテロが出来てしまいます」と言うように、業務妨害の観点では、①予約枠の占拠の他に②接種券番号の先取り占拠の妨害があり得る。いずれも電磁的記録不正作出・供用罪および偽計業務妨害で取り締まる。

2021-05-18 12:34:22
Hiromitsu Takagi @HiromitsuTakagi

妨害発生時の運用は準備しておかねばならない。①の妨害については、状況を見て予約枠を増やす調整をすればいい。完全に規定通りの人数にワクチン投与する必要性はなく、1日に可能な範囲で投与すればいいし、あぶれた人に後日お願いすることもやむを得ない。 twitter.com/HiromitsuTakag…

2021-05-18 12:42:02
Hiromitsu Takagi @HiromitsuTakagi

厄介なのは②の妨害。それが起きるシステムである旨を広く周知し苦情を受け付けて対処するしかない。大量に発生している場合は可能な範囲で検知してリセットするが、分散緩行型で来ると判別できない(がreCAPTCHAは設置されている)が、その時はその時。その事態の発生自体は苦情等から把握する必要。

2021-05-18 13:22:02
Hiromitsu Takagi @HiromitsuTakagi

妨害の分類を修正(3つ目を追加) ①予約枠の占拠 ②接種券番号の先取り占拠 ③正規予約の不正キャンセル ③の妨害については、そいうことが起き得る旨を会場の受付が理解し、キャンセルされた(又は(接種券番号入力を間違えたか)登録のない)来場者について、そのままワクチン投与すればよい。

2021-05-18 12:50:29
Hiromitsu Takagi @HiromitsuTakagi

外国からの妨害型サイバー攻撃に対しては、知らんふりする(何ら堪えていないようにみせる)ことも防衛として重要。 twitter.com/guillemet0u0/s…

2021-05-18 13:39:49
Hiromitsu Takagi @HiromitsuTakagi

こんな仕様、誰にでもすぐわかるのに、隠す意味などない。この人でもそんなことがわからないの? twitter.com/otsune/status/…

2021-05-18 14:26:43
Hiromitsu Takagi @HiromitsuTakagi

出鱈目。基本的にIPAの脆弱性届出制度は、DoSを問題にしていない(迷いつつ受け付けてはいる)。なぜなら、サービスが機能しなくなることは当該サービス提供者の自業自得であって、情報漏えいの脆弱性など国民に被害が及ぶものについて届出を受け付けるとしているものだから。 twitter.com/ayu_littlewing…

2021-05-18 14:31:16
Hiromitsu Takagi @HiromitsuTakagi

見つけたら報告が義務なわけではない。自身で運営元に通報するだけでも構わない(この制度は発見者が運営者より一般に弱者であることに鑑みて仲介するもの)(製品でなくWebの方の場合)し、直ちに事実を周知することの方が有益と考える場合には自己の責任でやってよいもの。 twitter.com/h_okumura/stat…

2021-05-18 14:45:27
Hiromitsu Takagi @HiromitsuTakagi

今回の報道が行なった検証行為は、「本来のワクチン接種を希望する65歳以上の方の接種機会を奪」うものには至っておらず、用いられた手段も適法なもの。上記のように、本件システムがこのような仕様となっている事実が、運営の現場と利用する国民に広く周知されることが必要。 twitter.com/KishiNobuo/sta…

2021-05-18 15:06:39
Hiromitsu Takagi @HiromitsuTakagi

現場の士気をいう点では、元記事の「防衛省関係者」の行動をどうにかされたた方がよろしいでしょう。 dot.asahi.com/dot/2021051700… 「…直後、「ワクチン予約に大変な欠陥が見つかった。システムのセキュリティが機能していない」(防衛省関係者)という情報が飛び込んできた」 twitter.com/KishiNobuo/sta…

2021-05-18 15:14:22
Hiromitsu Takagi @HiromitsuTakagi

この仕様を現場に周知しなければ、実際に不正キャンセルや誤入力での誤登録が起きているときに、「あなたは予約されていません。コンピュータは正確です。間違いありません。」と追い返すことになってしまうし、国民に周知されていなければ、それに反論することもできない。 twitter.com/HiromitsuTakag…

2021-05-18 15:46:23