body { -ms-overflow-style: scrollbar; overflow-y: scroll; overscroll-behavior-y: none; } .errorContainer { background-color: #FFF; color: #0F1419; max-width: 600px; margin: 0 auto; padding: 10%; font-family: Helvetica, sans-serif; font-size: 16px; } .errorButton { margin: 3em 0; } .errorButton a { background: #1DA1F2; border-radius: 2.5em; color: white; padding: 1em 2em; text-decoration: none; } .errorButton a:hover, .errorButton a:focus { background: rgb(26, 145, 218); } .errorFooter { color: #657786; font-size: 80%; line-height: 1.5; padding: 1em 0; } .errorFooter a, .errorFooter a:visited { color: #657786; text-decoration: none; padding-right: 1em; } .errorFooter a:hover, .errorFooter a:active { text-decoration: underline; } #placeholder, #react-root { display: none !important; } body { background-color: #FFF !important; }

JavaScriptを使用できません。

このブラウザではJavaScriptが無効になっています。引き続きtwitter.comを利用するため、JavaScriptを有効にするか、サポートされているブラウザに切り替えてください。サポートされているブラウザのリストについては、ヘルプセンターをご覧ください。

ヘルプセンター

利用規約プライバシーポリシー Cookieのポリシー Imprint 広告情報 © 2021 Twitter, Inc.

「いま」起きていることを見つけよう

Twitterなら、「いま」起きていることをいち早くチェックできます。

アカウント作成

ツイート

会話

Hiromitsu Takagi

@HiromitsuTakagi

識別符号（アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号≒パスワード）がないので、不正アクセス禁止法が禁ずる行為には当たらないが、虚偽内容で予約するのは、人の事務処理を誤らせる目的で行えば電磁的記録不正作出・供用罪。

引用ツイート

Yasushi Abe

@yasushia

· 5月17日

電磁的記録不正作出及び供用の罪という可能性はないんだろうか。JPRSのドメイン移管の悪用のときにそんな話題が twitter.com/HiromitsuTakag

3

1,250

1,091

Hiromitsu Takagi

@HiromitsuTakagi

不正アクセス禁止法違反行為の場合は、新聞報道であろうとも事実確認のため他人のパスワードでログインした時点で罪を構成する（かつての遠隔操作事件での書類送検事案あり）が、電磁的記録不正作出供用罪の場合は、キャンセルしたならば、人の事務処理を誤らせる目的があったことにはならないだろう。

3

842

800

Hiromitsu Takagi

@HiromitsuTakagi

予約のある人なのかはどうせ現場で目視確認するのだから、入力ミスによる予約であることはどうにか判断できそう（いや、確実に確認しないで進めちゃっていいだろう）か。こういうことが起き得るシステムだということは周知されていた方がよい。

引用ツイート

及川卓也 / Takuya Oikawa

@takoratta

· 5月17日

大規模接種で架空の接種券番号で予約ができてしまう問題は、故意に架空の番号で予約する悪意ある行為よりも、普通に予約しようとした人が間違って接種券番号を入力して取れた予約で無事に接種できるかが気になる。善意の人の間違いをシステムが弾かなかったために無かったことにされるのは避けたい。

このスレッドを表示

3

567

560

Hiromitsu Takagi

@HiromitsuTakagi

接種券と予約方式の設計を1年前からやっておくべきだったということでしょうね。

引用ツイート

山本一郎（Ichiro Yamamoto）

@Ichiro_leadoff

· 5月17日

さすがに「一年準備期間があった」は無い。日本旅行が随意契約に至ったのはGW明け【悲報】防衛省のワクチン予約システム早速ネット民のおもちゃに「SQLインジェクションできる」「同じ番号入れるとその前の予約がキャンセル」 - Togetter togetter.com/li/1716106

3

538

674

Hiromitsu Takagi

@HiromitsuTakagi

出鱈目。個人情報保護法制の公的部門のルール（地方公共団体の条例を含む）は、目的内の提供を制限していない。

引用ツイート

Haruhiko Okumura

@h_okumura

· 5月17日

チェックするには，各自治体から接種券番号・生年月日のリストをもらわなければならないが，個人情報保護条例か何かでデータを防衛省に渡せないなら，「システム改修は困難」は嘘ではないのかも

このスレッドを表示

2

389

442

Hiromitsu Takagi

@HiromitsuTakagi

接種券番号・生年月日リストを得て確認しようにも、生年月日空間が1万通り程度しかないので、（ドコモ口座事件で検討したように）リバースブルートフォースで当てられてしまう。それを十分に防ぐには接種券番号をスパースにしないといけなくて、ランダム生成で20桁ほど必要。

引用ツイート

Haruhiko Okumura

@h_okumura

· 5月17日

チェックするには，各自治体から接種券番号・生年月日のリストをもらわなければならないが，個人情報保護条例か何かでデータを防衛省に渡せないなら，「システム改修は困難」は嘘ではないのかも

このスレッドを表示

1

478

523

Hiromitsu Takagi

@HiromitsuTakagi

マイナンバーを使っても防げない（マイナンバーカードによるログインなら防げるが、全員が利用できるわけではないので採用できない）。それどころか、生年月日とマイナンバーの組を特定する機能として働いてしまい（去年のドコモ口座事件を見よ）重大な情報漏えいが発生する。

引用ツイート

コロナワクチン担当課長

@wakwaktintin

· 5月17日

できるわけないんですよ……。マイナンバーでこういうことを可能にすることがデジタル庁には求められると思います。/ 防衛省関係者によりますと、短期間で予約システムを構築することが求められる中、対象となるすべての自治体の接種券の番号をシステムとひも付ける作業はできなかったということです。 twitter.com/nhk_news/statu…

1

761

804

Hiromitsu Takagi

@HiromitsuTakagi

逆に言えば、今回のシステムは、何らの事前チェックを行わないことから、そこからの情報漏えい（ドコモ口座事件で露呈した、ゆうちょ銀行のシステムが、認証機能自体が登録情報の漏えいを引き起こしたように）が発生しないシステムになっているとも言える。

引用ツイート

Hiromitsu Takagi

@HiromitsuTakagi

· 5月18日

マイナンバーを使っても防げない（マイナンバーカードによるログインなら防げるが、全員が利用できるわけではないので採用できない）。それどころか、生年月日とマイナンバーの組を特定する機能として働いてしまい（去年のドコモ口座事件を見よ）重大な情報漏えいが発生する。 twitter.com/wakwaktintin/s

このスレッドを表示

1

699

761

Hiromitsu Takagi

@HiromitsuTakagi

ただし、この問題（「生年月日の空間が1万通り程度なので4桁暗証番号問題…」）があるため、正規に予約した人の予約状況が、ロックをかけたとしてもリバースブルートフォース攻撃によって、1万分の1程度の割合で閲覧されてしまう。ロックがなければ、全て閲覧され得る。

引用ツイート

Hiromitsu Takagi

@HiromitsuTakagi

· 5月18日

「同じ番号入れるとその前の予約がキャンセル」は事実でないのでは？各接種券番号について初回登録時に入力された生年月日を入力しないと「マイページ」に行けないようになっているように見える。（もっとも、生年月日の空間が1万通り程度なので4桁暗証番号問題はある。） togetter.com/li/1716106

このスレッドを表示

2

326

352

Hiromitsu Takagi

@HiromitsuTakagi

もっとも、閲覧されても問題ないレベルとも言い得る。ただし、本人が接種券番号を公開したりすると、生年月日を特定される（とともに、接種予約の状況を知られる）ことにはなり得る。

引用ツイート

大濱﨑卓真

@oohamazaki

· 5月17日

あ、もちろん上記は大規模接種センター(東京)で接種した場合に限ります。自治体コードと接種券番号の都合16桁の組み合わせで見てるけれど、SNSにアップしたら居住自治体分かれば結局接種履歴が明らかになるから、やっぱりやべえ。総当たり...とか...考えたくもない...やっぱり、かなりやばい。

このスレッドを表示

1

272

314

Hiromitsu Takagi

@HiromitsuTakagi

漏えいの観点では、最悪ケースの想定として、攻撃者により、全ての接種券番号についてのこの画面の情報と生年月日の組みがリスト化され、暴露されたとして、それがどうなんだ？ということになる。

引用ツイート

大濱﨑卓真

@oohamazaki

· 5月17日

なお、自治体コード「123456」接種券番号「1234567890」でマイページ見るとこんな感じ。キャンセルになってるのは、報道記者など実際に予約できるか最後まで試した人たち。これは実在しないダミー文字列だけど、SNSに「ワクチンきたこれ」とか言って接種券アップしたら、これらの情報は漏洩する。

このスレッドを表示

3

315

314

Hiromitsu Takagi

@HiromitsuTakagi

入力させないというのは生年月日をという話？究極的にはそうだけど、さすがに接種券番号（スパースでないシリアル番号）だけで登録・閲覧・キャンセルというのは、アレすぎる。生年月日がなんちゃって「認証」っぽく振舞っているのが誤解を与えてよくないというのはそうだが。

引用ツイート

Sheetcalc 公式アカウント

@Sheetcalc

· 5月18日

返信先: @HiromitsuTakagiさん

そもそもチェックしない項目に入力させるのがおかしいと思います。接種券を持っているかチェックボックスにチェックさせて、「当日忘れずにお持ちください」でよかったのではないかと思う。

2

150

199

Hiromitsu Takagi

@HiromitsuTakagi

最初の記事が「予約枠だけ占拠して、当日誰も行かなければ、大量のワクチンがムダに…まさにワクチンテロが出来てしまいます」と言うように、業務妨害の観点では、①予約枠の占拠の他に②接種券番号の先取り占拠の妨害があり得る。いずれも電磁的記録不正作出・供用罪および偽計業務妨害で取り締まる。

1

398

441

Hiromitsu Takagi

@HiromitsuTakagi

「善意に頼った」もなにもごく普通。不正申請を刑罰により抑制することで成立しているシステムはいくらでもある。（ただし漏えいが起きる場合はそれでは済まされない。）特にパンデミックという緊急時においてならなおさら。

引用ツイート

Cheena

@cheenanet

· 5月17日

「善意に頼ったシンプルな予約システム」っていうのめっちゃいいな。善意に頼った持続化給付金ってやつもありましたね… twitter.com/mainichi/statu

1

889

977

Hiromitsu Takagi

@HiromitsuTakagi

妨害発生時の運用は準備しておかねばならない。①の妨害については、状況を見て予約枠を増やす調整をすればいい。完全に規定通りの人数にワクチン投与する必要性はなく、1日に可能な範囲で投与すればいいし、あぶれた人に後日お願いすることもやむを得ない。

引用ツイート

Hiromitsu Takagi

@HiromitsuTakagi

· 23時間

最初の記事が「予約枠だけ占拠して、当日誰も行かなければ、大量のワクチンがムダに…まさにワクチンテロが出来てしまいます」と言うように、業務妨害の観点では、①予約枠の占拠の他に②接種券番号の先取り占拠の妨害があり得る。いずれも電磁的記録不正作出・供用罪および偽計業務妨害で取り締まる。

このスレッドを表示

1

281

288

Hiromitsu Takagi

@HiromitsuTakagi

妨害の分類を修正（3つ目を追加） ①予約枠の占拠 ②接種券番号の先取り占拠 ③正規予約の不正キャンセル ③の妨害については、そいうことが起き得る旨を会場の受付が理解し、キャンセルされた（又は（接種券番号入力を間違えたか）登録のない）来場者について、そのままワクチン投与すればよい。

3

381

390

Hiromitsu Takagi

@HiromitsuTakagi

厄介なのは②の妨害。それが起きるシステムである旨を広く周知し苦情を受け付けて対処するしかない。大量に発生している場合は可能な範囲で検知してリセットするが、分散緩行型で来ると判別できない（がreCAPTCHAは設置されている）が、その時はその時。その事態の発生自体は苦情等から把握する必要。

3

248

286

Hiromitsu Takagi

@HiromitsuTakagi

外国からの妨害型サイバー攻撃に対しては、知らんふりする（何ら堪えていないようにみせる）ことも防衛として重要。

引用ツイート

ライナス

( ´ᾥ` )

米株仮面

@guillemet0u0

· 22時間

他国の脅威も取り締まれるんだろうか。悪意に塗れた現代において「人の善意」に頼るのは無理があるかと。もちろん法と罰で脅しをかけて善意っぽいものを引き出すことはできるけど、法も罰も通用しない連中は悪意のままに好き放題できちゃうしなぁ。 twitter.com/HiromitsuTakag…

このスレッドを表示

1

203

277

Hiromitsu Takagi

@HiromitsuTakagi

こんな仕様、誰にでもすぐわかるのに、隠す意味などない。この人でもそんなことがわからないの？

引用ツイート

ǝunsʇo ıɯnɟɐsɐɯ

@otsune

· 22時間

あのラジオライフですら、どこまで書いたらまずいのかを判断する技術的知識はあって、テレホンカード偽造とか無賃乗車の裏技記事はワザと再現できないように細部はボカしてたんだよね。ワクチン予約不具合記事はそのへんの技術的知識が無かったか（そもそも隠すつもりが無かったのかもしれないけど）

1

309

363

Hiromitsu Takagi

@HiromitsuTakagi

出鱈目。基本的にIPAの脆弱性届出制度は、DoSを問題にしていない（迷いつつ受け付けてはいる）。なぜなら、サービスが機能しなくなることは当該サービス提供者の自業自得であって、情報漏えいの脆弱性など国民に被害が及ぶものについて届出を受け付けるとしているものだから。

引用ツイート

あゆゆん♪

@ayu_littlewing

· 23時間

自称ネットワークエンジニアの方にこのレベルの説明をするのもアホらしいのでこれで終わりにしますが、今回の件に限らず一般的に推奨されている脆弱性報告の手順としてはIPAの届出窓口があるのでそちらを利用しましょうね。ネットやTwitterに晒すのは被害拡大の元です。 ipa.go.jp/security/vuln/

3

449

513

あゆゆん♪

@ayu_littlewing

返信先:

@HiromitsuTakagi

さん

こちらがIPAの正式な見解であり、今回のケースの場合も開発元及びIPAへの報告を推奨するとのことです。間違った情報が拡散されるのは望ましくありませんので、『出鱈目』としたこの発言の削除を求めます。

脆弱性を突く手口、IPA「見つけたらまず開発者やIPA窓口に報告して」　コロナワクチンの架空予約巡り

大規模会場を使った新型コロナワクチンの接種予約システムで架空の予約ができてしまう問題について、IPAが「脆弱性や手口を不特定多数に公開するのは望ましくない」とコメントした。脆弱性を発見した際は「まず開発者やIPAの窓口に報告してほしい」と呼び掛けている。

午後1:55 · 2021年5月18日Twitter for Android

件のリツイート

件の引用ツイート

件のいいね

返信をさらに表示

Twitterを使ってみよう

今すぐ登録して、タイムラインをカスタマイズしましょう。

アカウント作成

トレンド

いまどうしてる？

ニュース

1 時間前

愛知県知事へのリコール不正元県議の事務局長を署名偽造容疑で逮捕

トレンドトピック: 愛知県警、関与否定

日本のトレンド

超17号

3,015件のツイート

日本のトレンド

トラウト

2,870件のツイート

朝日新聞デジタル

昨日

「動物園、におい何とかして」　届いた意見、園長の答え

文春オンライン

2021年5月17日

「それならもう携帯はいらない」3G終了、ガラケーさよなら…抗議する愛用者の「言い分」

さらに表示