【正論】 IPA「脆弱性の存在を報告せずにネット上にいきなり公開することは絶対に行ってはいけない」
続き・詳細・画像をみる
大規模会場を使った新型コロナワクチンの接種予約システムで架空の予約ができてしまう問題について、IPA(情報処理推進機構)は5月18日、取材に対し「脆弱性や手口を不特定多数に公開するのは望ましくない」とコメントした。脆弱性を発見した際は「まず開発者やIPAの窓口に報告してほしい」という。
脆弱性情報は、開発者が脆弱性を直すために必要な情報である一方で、攻撃に悪用される恐れがある情報でもある。このためIPAは「発見時は開発者に報告し、極秘事項にすること」とし、「報告せずに、脆弱性の存在をネット上にいきなり公開することは絶対に行ってはいけない」としている。また、攻撃者と疑われる可能性があることから「善意であっても必要以上に調査しないこと」ともしている。
架空予約の問題を巡ってはAERA dot.の記者が17日に公開した記事の中で、でたらめな番号を予約システムのフォームに入力しても予約が取れてしまうことを、実際のシステムで確かめたと記載。予約後には「予約をキャンセルした」としているものの、具体的な手口を明らかにした報道手法に対し、Twitterでは「模倣犯による犯行を誘導している」などの指摘が出ていた。
https://www.itmedia.co.jp/news/articles/2105/18/news145.html#:~:text=%E3%83%AF%E3%82%AF%E3%83%81%E3%83%B3
20 風吹けば
でも防衛省的には脆弱性じゃないんでしょ?
仕様通りなんだから
35 風吹けば
善意に頼った"システム"だからな
脆弱性じゃない
25 風吹けば
報告した上で改善されなかったら公開していいルールだしな
たんに公開するのは流石によくないわ
33 風吹けば
>>25
ちゃんと防衛省に取材した上で記事にしてるぞ
そもそも内部告発だから政府は知った上で隠蔽して運用開始してる
199 風吹けば
>>33
内部告発かよw
13 風吹けば
これって気づかない方がやばい不具合だろ
44 風吹けば
IPAさんもこんなくだらないことで脆弱性だのコメントさせられるとは思いもしなかったやろな
49 風吹けば
脆弱性でもセキュリティホールでもなく
仕様がうんこなだけ定期
46 風吹けば
でも実際そのせいで対策打つ前にいたずら半分で偽の予約しまくる奴出とるんやから正論やない?
48 風吹けば
防衛大臣が自分で言ってるけどシステムが脆弱なんじゃなくてそういうシステムの仕様だからそれがおかしいって言ってるだけだぞ
106 風吹けば
システムの作りが酷いのとサイバー攻撃を幇助するのは別や
システム屋なら常識レベルの話や
122 風吹けば
>>106
これやな
システムのガバガバさとは切り離して考えなあかん
114 風吹けば
脆弱性以下のシステム作る国も
ほんまか試してみたやりまくって
それはアカンっていわれてきれる国民も
IT後進すぎるわ
206 風吹けば
日本じゃホワイトハッカーも犯罪者やからな
247 風吹けば
そもそも予約“システム”ですらなくてただ10桁の数字と生年月日等を入力する事ができるサイトや
873 風吹けば
>>247
それで充分なシステムなんだけどな。
無駄に予約番号紐付けなきゃならんと思ってる奴多いが
166 風吹けば
200億円で作られたシステムが仕様どおり動作することを確認しただけやん
何が問題なんだ?
188 風吹けば
仕様なら脆弱性が存在しないと思ってる奴は何なんだ
238 風吹けば
【修正履歴:2021年5月18日午後11時5分 記事初出時、架空予約できることのみが「脆弱性」としていましたが、同手法がセキュリティ上の欠陥を突いているかは議論の余地があります。本件に関しては「SQLインジェクション」などの攻撃が可能という情報もあることから、タイトルと本文の表現を修正しました。】
架空予約は脆弱性ではないらしい
208 風吹けば
SQLインジェクションって1年目のエンジニアでも対策教わるレベルやろ
253 風吹けば
防衛省内部からこの情報漏れてるんやけど政府の人間は必死に犯人探しするんやろか
300 風吹けば
>>253
民間企業には内部告発で不正な処分を下してはならない言うてんのに自分らはやるのはいかんでしょ
291 風吹けば
ソフト屋以外はそんな程度の認識なんやろな
ゼロディアタック怖いからMicrosoftとかもヤバいの見つけても即時は公表せんやん
279 風吹けば
だいたいなんで防衛省はこれが仕様だ!時間なかったから仕方ないだろ!って逆ギレしてんだよ
ふざけたもん納品してんじゃねえと受託業者詰めるとこやろ
320 風吹けば
>>279
要件定義してるのは防衛省でベンダーはそれに沿って実装してるだけやろ
281 風吹けば
こんなガバガバなシステムならうちにやらせろよと思ってる中小SIer
1万社くらいありそう
308 風吹けば
ACCS不正アクセス事件
https://scan.netsecurity.ne.jp/article/2004/05/19/12726.html
2003年11月、セキュリティ研究者が集まるイベントにて
社団法人コンピュータソフトウエア著作権協会(ACCS)の公式サイトに
脆弱性が存在することを「実演」して示した研究者が逮捕された事件
424 風吹けば
>>308
これは実際情報抜いてるから有罪でもしゃーない
450 風吹けば
仕様にこの入力は弾くって書かれてなかったからその通り設計しただけだぞ
もらえる金も変わらないし
339 風吹けば
IPAがこれを脆弱性なんて言わないやろ
質問の仕方がおかしいとちゃう?これ
409 風吹けば
>>339
それワイも凄く迷ったけど、データの完全性に影響(予約データの削除)出来るからセキュリティ上の問題として脆弱性として言えなくも無いと思う
463 風吹けば
>>409
報道は「存在しない番号で予約可能」ってだけで
正規の番号の予約をオーバーライドできることは言ってないやろ
746 風吹けば
そもそもフィルターかけないならなんで予約券番号なんて入力させてんの?
年齢入れさせるだけでいいじゃん
515 風吹けば
これは正論だけど、出版社のインセンティブを考えると無理な話やわ。
修正後にボロカスに叩く記事を書かせてもらえるとかならまだしも。
611 風吹けば
>>515
こんなネタ報道したくなるのは当然やけど
とはいえ高齢者の接種率向上の目的に逆行する可能性を生む報道はすべきではなかった
総理大臣叩いて辞めさしたら済む問題ではない
500 風吹けば
防衛省に取材申し込んだ!
「担当部署に確認する」と返事が来た!
これで終わってるからなんとも言えんわ
返事は待たなかったんか?
635 風吹けば
もう国はネットとか諦めろ、全部FAXとハガキで対応しろ
679 風吹けば
続き・詳細・画像をみる
私には姉がいたんだけど、今で言う場面緘黙症みたいな感じで、自分の意思を伝えることがすごく苦手な性格だった。
大谷14号ホームラン
【日本大改革プラン】<維新> 「ベーシックインカム」導入などの重点政策公表 !国民1人当たり、月額6万円から10万円を支給すれば..★4
戦国BASARAとかいう一時期の人気は凄かったゲーム
【フジテレビ】新社長に金光修氏就任へ、遠藤龍之介氏は副会長にwww
【正論】 IPA「脆弱性の存在を報告せずにネット上にいきなり公開することは絶対に行ってはいけない」
自称激辛好き「え...これ全然辛くないけど?(キョトン)」
【悲報】ワイ 一匹六千円で買った鮭をいきなり焼き鮭にされ泣く
アメリカ人「私は同性愛者ではありませんが、大谷翔平と一緒に森の中の丸太小屋に住みたい」
自称激辛好き「え...これ全然辛くないけど?(キョトン)」
上石神井って『かみしゃくじんい』じゃなかったんだな・・・今さっき気づいたよ
【朗報】渡部健さん、事故を起こした車に乗っていた女性を救助して表彰されてた
back ▲ 過去ログ 削除依頼&連絡先
