「都税クレジットカードお支払いサイト」が復活、ドメインを巡り批判が出る 10
ストーリー by hylom
混乱 部門より
混乱 部門より
Apache Struts 2の脆弱性を狙った攻撃でクレジットカード情報を流出させ、一時停止されていた「都税クレジットカードお支払サイト」が復旧した(ITmedia)。しかし、今度はこのサイトが新たに「https://zei.metro.tokyo.lg.jp/」というドメインを利用することになっている点や表記などが不正確である旨が批判されている(セキュリティ研究者・高木浩光氏によるTogetterまとめ)。
lg.jpは地方公共団体を対象としたドメイン(JPRSの説明)。このドメインを登録できるのは地方公共団体とそれらの組織が行う行政サービスのみとされている。を運営するのはトヨタファイナンスであり、地方公共団体ではない。また、問題の都税クレジットカードお支払サイトにアクセスすると組織名として「東京都」として表示されるようにもなっている。
特に大きな問題点として、情報の取得主体が誰なのかが不明瞭になっている点がある。さらに、個人情報保護法の義務である「利用目的の公表」をしていないとも指摘されている。なお、このサイトは都が運用をトヨタファイナンスに委託しているものではなく、トヨタファイナンス自体が運営主体とのこと。
不明瞭? (スコア:0)
サイトのあらゆる場所に社名が見えるし、SSL証明書の名前と実際の運営会社が別々なんてよくあることでしょ。
Re: (スコア:0)
高木氏が「不明瞭」と指摘しているのは,「問い合わせ」画面 [tokyo.lg.jp]ですね.「都税クレジットカード納付 サポートセンター」って東京都?トヨタ?ってことでしょう.
なお,この辺を回避するためか「お問合せ内容欄には、お名前、ご住所、電話番号、クレジットカード番号などの個人情報を入力されないようお願いします。」としていますが,メールアドレスは個人情報じゃないのかって?突っ込まれていますね.
Re: (スコア:0)
このツィートが一番わかりやすい。
> MAEDA Katsuyuki @keikuma
> 2017-04-25 19:02:57
> もし、東京都主税局が運営主体で、トヨタファイナンスが委託を受けてるという関係だったら、
> zei.metro.tokyo.lg.jp のドメイン名で、東京都 Bureau of Taxation の証明書使っていて、
> 何の問題もないところ、実は、*そうではない*というのが大問題。
普通にただのトヨタファイナンスのサイトなのに、なんで「東京都」って名乗ってんの?という話。
「実際の運営会社は~」とかいう問題じゃない。
Re: (スコア:0)
東京都の中に、どうしても都の直接提供するサービスという体裁を取らせたいという思いがあるんだろうな。
Re: (スコア:0)
この間の漏洩事故を受けての、今後このような不祥事が起こったときは、東京都がケツを持つ!という強い責任感の現れと見てよいのではないだろうか。
落ち着いてください (スコア:0)
……行政サービスのみとされている。を運営するのはトヨタファイナンスであり
あなたが混乱してどうするのです。
Re:落ち着いてください (スコア:2)
Adblockとか入れてると文中のアフィリンクが消えてそんな文章になることがあるよね。それかと思ってしまった。
Re:落ち着いてください (スコア:1)
「を」で始まる文章って初めて見たかも。
#「ををををををを」とかは置いといて
Re: (スコア:0)
国税庁の方は (スコア:0)
https://kokuzei.noufu.jp/ [noufu.jp]
2. クレジットカード納付は、国税庁長官が指定した納付受託者に立替払いを委託する手続きです。クレジットカード納付については、国税通則法により、(後略)
高木氏のツイートからリンクされている国税局のサービスでは、「国税庁が指定しているが、民間の業者の事業である」ということをはっきりさせている。
zei.tokyoの問題点はまるで東京都が直接運営しているかのように見せかけていることで、それに対して上がった指摘が直接運営して.lg.jpを取るか、独立した業者だとはっきりさせるか、どっちかにしろというものだった。
それを「.lg.jpで提供すればどんなサービスでもよいのだ」と勘違いして、いわば役所の窓口に業者席を作ってしまったのでは、前よりさらに詐欺的になってしまっているわけだ。
管理職に分かる人がいないということだけは分かるな。