TOP > IT・テクノロジー > 脆弱性を突く手口、IPA「見つけたらまず開発者やIPA窓口に報告して」 ワクチン予約システムの欠陥巡り - ITmedia NEWS

脆弱性を突く手口、IPA「見つけたらまず開発者やIPA窓口に報告して」 ワクチン予約システムの欠陥巡り - ITmedia NEWS

389コメント 2021-05-18 20:37  ITmedia

大規模会場を使った新型コロナワクチンの接種予約システムで架空の予約ができてしまう問題について、IPAが「脆弱性や手口を不特定多数に公開するのは望ましくない」とコメントした。脆弱性を発見した際は「まず開...

ツイッターのコメント(389)

脆弱性を突く手口、IPA「見つけたらまず開発者やIPA窓口に報告して」【訂正あり】(要約)
結局、ITmediaの記事修正されたんだね。
何もしていないのに訂正されていた。
訂正履歴多すぎにゃ
脆弱性を「きじゃくせい」と読んでた樋口隆充らしい糞記事
IPAはホワイトハック自体はNGではなく原則推奨の立場。当たり前だろう何故なら。 『取材に対し…脆弱性情報は、開発者が脆弱性を直すために必要な情報である』
セキュリティホール見つけたら情報管理者へ通報が鉄則。
新聞テレビで拡散なんてもっての他!
セキスペとは言わんが、情マネ試験くらい簡単だから文系でも受かるから受けろ。
おまえら民主党IT化IT化って言ってるんだから情マネくらい取って勉強しる。
「IPAの見解は一般的な脆弱性などに対するコメントであり、特定の事案に対して述べたものではありません。このため、コメントが一般論であることが分かるよう第1段落の表現を訂正」
ついにお詫び。「IPAの見解は一般的な脆弱性などに対するコメントであり、特定の事案に対して述べたものではありません」「ご迷惑をおかけしたことを、お詫び申し上げます」
『IPAの見解は一般的な脆弱性などに対するコメントであり』あのさあ…
>【訂正履歴:2021年5月21日午後1時 IPAの見解は一般的な脆弱性などに対するコメントであり、特定の事案に対して述べたものではありません。このため、コメントが一般論であることが分かるよう第1段落の表現を訂正しました。
おお、本当にITmediaの記事、修正されとるやんけ。
「記事に具体的な手口があったことから「架空予約を誘導している」」と大げさに言うほどの方法かね?単にメチャクチャな内容でも受け付けちゃう、というだけでは?

>>>
IPAの見解が出たらしいので、これでファイナルアンサーだと思う。
記事修正しとる
脆弱性の報告って、良識ある人は、この様にするので、毎日と朝日と枝野議員は非常識だと感じた。
開発者や窓口に報告が鉄則。
ワクチン予約システムの記事

ふむふむ

まず開発者やIPA窓口に通報すべきであり、いきなりネット上に脆弱性を公開するのは望ましくないとのこと。
確かに、いきなり公開するのはまずいのでは?悪用されて、システムパンクし、ワクチン接種が進まなくなったら、どうするんだろう?
コロナ禍が来てから至急で作ったもんだからセキュリティのチェックが甘かったんかもねぇ
時間もないし、使う人も多いし、、、
やはりAERA、朝日、毎日は愉快犯だと思います。

間違った正義や偽善にはもうウンザリです。
もう一つの問題は、犯罪の手口をネット上で公開したこと。これ自体は犯罪ではないが、IPAも禁止しているルール違反だ。江川さんはそれと不正アクセスを意図的に混同して左翼弁護士のコメントを取っている。
開発してるだけでいつ神奈川県警に逮捕されるか分からず怯えて暮らしてる人間から見るとコワ~…としか言いようがない
朝日や毎日がワクチン予約システムの件で批判されるのはこの大原則を無視してるからであって、そこに右だ左だの政治思想は関係ないからな

 ワクチン予約システムの欠陥巡り(要約)
ジャーナリズムに燃える方もそうでない方もマナー講師の方も必見ですよー🙃
か否かと、社会の公器たるメディアに許される行為かどうかは全くの別問題で論点ずらしと言える。

IPAも指摘する通り、不正アクセスできる欠陥を見つけて、それを公表する行為は極めて悪質。
今回の件に関して質問した回答というより、“脆弱性”に関する一般論としての回答に読める。どのようなかたちで質問したのかな
今回のはセキュリティ上の脆弱性ではなく、仕様上の問題に近いと。
ただそうなると、政治と情勢を鑑みて問題があったのかという話なので、なおさら報道姿勢が疑問。
ITmediaが以下の記事は、結局は無茶苦茶な理屈を振り回した政府の擁護になっている。
トップに書かれたIPA(独立行政法人 情報処理推進機構)の一般論を、ITmedaがIPAに質問する形式で提示しており「みせかけの公平性」を作出している。
これから、色んなサービスに触れて「おかしいな?」というところを偶然見つけた時に思い出したい話やね
取材に対して「SQLインジェクションの可能性がある以上、実行せずに通報して」というIPAの見解表明があるのに「全く問題ない」
とか言い切っちゃうのスゲーな
公益性とは
もし、Webサービスとかで致命的なバグを見つけた時はいきなりSNSとか記事にするんじゃないよって話
こういうのは善意だけに頼るのではなく、報奨金精度にして、未公開の情報であり、真実であることが確認できた場合にだけ支払うにしたほうが良い。公開すると損をした気になり抑制される。
脆弱性を見つけることはある意味職人芸であり、対価があって良い
朝日・毎日側
・不具合を見つけた後にまずは「報告」してから次のアクションを考えるべきだった

IPA見解


まぁ、個人的には、ITに対する無理解が生んだ事象だと思うわ。
後は、開発費200億の真偽と、本当だとして、予算に何がどれだけ織り込まれているか、ってのは気になる
その後、タイムラグを設けて報道し、バグがあっても不正は違法と指摘すれば良い
これを受けてIPAが信用出来る機関だと信じられるかって言っちゃう層は、IAEAなんて信用出来るかって層と被る。いや
お前らより専門家だぞ。
この件はSNSで盛り上がっただけの話だと思っていましたが、朝日新聞と毎日新聞が騒ぎ立てたのが発端だったんですね。すっかり踊らされてしまいました。
IPA「見つけたらまず開発者やIPA窓口に報告して」
だーかーらー、今回の件は脆弱性じゃなくて欠陥なんだと何回言えば分かるんだよ……。
朝日や毎日の真似をすると「不正アクセス禁止法」に抵触する恐れがありますので、ご注意を🙅‍♂️
セキュリティベンダー
バウンティハンター
コンサルタント
攻撃者グループへの情報提供者
研究者
ユーザー企業
善意の第三者

見つけた脆弱性はそれぞれの正義によって取り扱われるまる
常識あれば、「あの人の家、鍵かけてないから泥棒してみました!」とはならんよね。
まずは通報しよ。
そもそも、「脆弱性」の意味、私は説明できるか?
IPAのコメント
脆弱性情報は、……攻撃に悪用される恐れがある情報でもある。
「発見時は開発者に報告し、極秘事項にすること」
「報告せずに、脆弱性の存在をネット上にいきなり公開することは絶対に行ってはいけない」
「善意であっても必要以上に調査しないこと」
AERAは報告したって言ってますが。ていうか,そもそも,IPAは防衛省に「欠陥を知りながら大規模システムを強行運用すること」についても厳しく指摘したら?: ワクチン予約システム - ITmedia
一般ユーザが利用できるシステムに不具合があり、ネット公開しないでというのは、だいぶ無理を言ってる気がする
税金で作ってるものだから尚更ちゃんとしたものが作られてるって普通の人は
思うし。。
👖「ズボンのチャックが開いてますよ」ってさりげなく伝えてあげるように
🖥コンピュータシステムの不具合も
📢✖大ぴらに言っちゃダメなんです
もっと見る (残り約339件)
 

いま話題のニュース

もっと読む

 
PR