ringoさん
VIEW
これはしょうがない。緊急時なのだし(情報漏洩が起きるわけでない限り)このままいくしかない。ただ、こういう事実があることは周知されていた方がよい。
t.co/HXgYHfPLP3
菅義偉首相の肝いりで5月24日、東京都千代田区大手町に開設予定の新型コロナウイルスワクチン大規模接種センター。 接種予約は17日午前11時の開始からわずか45分で2万1000件に達するなど順調な滑り...
不正アクセス禁止法にはあたらない
東京23区と大阪府の住民を対象に始まったワクチンの高齢者向け大規模集団接種。ウェブ予約で、実際の接種券に記載されていない適当な数字を入力しても予約ができることを、毎日新聞記者が複数の数字で確認しました。#新型コロナウイルス
t.co/OGvOABpEsx
東京23区と大阪市の住民を対象に17日始まった新型コロナウイルスワクチンの高齢者向け大規模集団接種のウェブ予約で、実際の接種券に記載されていない架空の数字を入力しても予約ができることを、毎日新聞記者が複数の数字で確認した。予約の対象は65歳以上だが、65歳未満となる生年月日を入力しても予約できるこ
システムとしての完成度云々の議論は置いといて、管理者の事前許諾を得ずに実運用システムに意図的に虚偽データを投げ入れる行為って、法的にセーフなのか?不正アクセスの定義的にはどうだったか。 t.co/iIsRzTBV9G
「他人の識別符号を入力」すれば不正アクセスだが,存在しないでたらめを入れるのは不正アクセスにならないんだろう,しらんけど t.co/EzndVSHy6j
電磁的記録不正作出及び供用の罪という可能性はないんだろうか 。JPRSのドメイン移管の悪用のときにそんな話題が
t.co/r8anU2K8VX t.co/tBttZyfWNP
識別符号(アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号≒パスワード)がないので、不正アクセス禁止法が禁ずる行為には当たらないが、虚偽内容で予約するのは、人の事務処理を誤らせる目的で行えば電磁的記録不正作出・供用罪。
t.co/nUIuPNRQSx
不正アクセス禁止法違反行為の場合は、新聞報道であろうとも事実確認のため他人のパスワードでログインした時点で罪を構成する(かつての遠隔操作事件での書類送検事案あり)が、電磁的記録不正作出供用罪の場合は、キャンセルしたならば、人の事務処理を誤らせる目的があったことにはならないだろう。
今回のシステムについての見解
大規模接種で架空の接種券番号で予約ができてしまう問題は、故意に架空の番号で予約する悪意ある行為よりも、普通に予約しようとした人が間違って接種券番号を入力して取れた予約で無事に接種できるかが気になる。善意の人の間違いをシステムが弾かなかったために無かったことにされるのは避けたい。
予約のある人なのかはどうせ現場で目視確認するのだから、入力ミスによる予約であることはどうにか判断できそう(いや、確実に確認しないで進めちゃっていいだろう)か。こういうことが起き得るシステムだということは周知されていた方がよい。https://t.co/gtgIteWAqw
— Hiromitsu Takagi (@HiromitsuTakagi) May 17, 2021
接種券と予約方式の設計を1年前からやっておくべきだったということでしょうね。https://t.co/79te6HUyDd
— Hiromitsu Takagi (@HiromitsuTakagi) May 18, 2021
出鱈目。個人情報保護法制の公的部門のルール(地方公共団体の条例を含む)は、目的内の提供を制限していない。https://t.co/p9zhbXrjPf
— Hiromitsu Takagi (@HiromitsuTakagi) May 18, 2021
接種券番号・生年月日リストを得て確認しようにも、生年月日空間が1万通り程度しかないので、(ドコモ口座事件で検討したように)リバースブルートフォースで当てられてしまう。それを十分に防ぐには接種券番号をスパースにしないといけなくて、ランダム生成で20桁ほど必要。https://t.co/p9zhbXrjPf
— Hiromitsu Takagi (@HiromitsuTakagi) May 18, 2021
マイナンバーを使っても防げない(マイナンバーカードによるログインなら防げるが、全員が利用できるわけではないので採用できない)。それどころか、生年月日とマイナンバーの組を特定する機能として働いてしまい(去年のドコモ口座事件を見よ)重大な情報漏えいが発生する。https://t.co/NWNfXYdAFC
— Hiromitsu Takagi (@HiromitsuTakagi) May 18, 2021
逆に言えば、今回のシステムは、何らの事前チェックを行わないことから、そこからの情報漏えい(ドコモ口座事件で露呈した、ゆうちょ銀行のシステムが、認証機能自体が登録情報の漏えいを引き起こしたように)が発生しないシステムになっているとも言える。https://t.co/9evtE0tcIz
— Hiromitsu Takagi (@HiromitsuTakagi) May 18, 2021
ただし、この問題(「生年月日の空間が1万通り程度なので4桁暗証番号問題…」)があるため、正規に予約した人の予約状況が、ロックをかけたとしてもリバースブルートフォース攻撃によって、1万分の1程度の割合で閲覧されてしまう。ロックがなければ、全て閲覧され得る。https://t.co/vVPr8mIJLk
— Hiromitsu Takagi (@HiromitsuTakagi) May 18, 2021
もっとも、閲覧されても問題ないレベルとも言い得る。ただし、本人が接種券番号を公開したりすると、生年月日を特定される(とともに、接種予約の状況を知られる)ことにはなり得る。https://t.co/4MD8AfNG3m
— Hiromitsu Takagi (@HiromitsuTakagi) May 18, 2021
漏えいの観点では、最悪ケースの想定として、攻撃者により、全ての接種券番号についてのこの画面の情報と生年月日の組みがリスト化され、暴露されたとして、それがどうなんだ?ということになる。https://t.co/dIZVBxAmx1
— Hiromitsu Takagi (@HiromitsuTakagi) May 18, 2021
みんなの声
責任分界点を抑えた評価だと思う。予約システム側としては情報漏洩が起きないのであれば大きな問題はない。業務妨害は行えない方が望ましいが、最終的には取り締まれば良いので必須ではない。 / “Hiromitsu Takagi on Twitter: "これはしょうがない。緊急時なのだし(情報…” t.co/FRwHdrTHSO