脆弱性を突く手口、IPA「見つけたらまず開発者やIPA窓口に報告して」【訂正あり】
大規模会場を使った新型コロナワクチンの接種予約システムの欠陥を巡り、情報公開の在り方で議論が起きている。IPA(情報処理推進機構)は5月18日、取材に対し「一般論ではあるが、脆弱性や手口を不特定多数に公開するのは望ましくない」とコメントした。
大規模会場を使った新型コロナワクチンの接種予約システムの欠陥を巡り、情報公開の在り方で議論が起きている。IPA(情報処理推進機構)は5月18日、取材に対し「一般論ではあるが、脆弱性や手口を不特定多数に公開するのは望ましくない」とコメントした。脆弱性を発見した際は「まず開発者やIPAの窓口に報告してほしい」という。
【修正履歴:2021年5月18日午後9時25分 IPAがITmedia NEWSの取材に回答したものであるため、表現を一部変更しました】
【修正履歴:2021年5月18日午後11時5分 記事初出時、架空予約できることのみが「脆弱性」としていましたが、同手法がセキュリティ上の欠陥を突いているかは議論の余地があります。本件に関しては「SQLインジェクション」などの攻撃が可能という情報もあることから、タイトルと本文の表現を修正しました。】
【訂正履歴:2021年5月21日午後1時 IPAの見解は一般的な脆弱性などに対するコメントであり、特定の事案に対して述べたものではありません。このため、コメントが一般論であることが分かるよう第1段落の表現を訂正しました。関係者の方々と読者の皆さまにご迷惑をおかけしたことを、お詫び申し上げます】
脆弱性情報は、開発者が脆弱性を直すために必要な情報である一方で、攻撃に悪用される恐れがある情報でもある。このためIPAは「発見時は開発者に報告し、極秘事項にすること」とし、「報告せずに、脆弱性の存在をネット上にいきなり公開することは絶対に行ってはいけない」としている。また、攻撃者と疑われる可能性があることから「善意であっても必要以上に調査しないこと」ともしている。
IPAでは脆弱性を報告する専用窓口を設置し、情報提供を求めている。
予約システムの欠陥を巡っては、AERA dot.の記者が17日に公開した記事の中で、でたらめな番号を予約システムのフォームに入力しても予約が取れてしまうことを、実際のシステムで確かめたと記載。記事に具体的な手口があったことから「架空予約を誘導している」と報道に疑問を呈する声も上がった。
この他、データベースを不正に操作する攻撃手法である「SQLインジェクション」が予約システムに対して可能という情報も流れたことから、脆弱性など欠陥を第三者が見つけた際の取り扱いについてネット上で議論が起きていた。
自治体では、当事者への通報によりシステムの不備が明らかになったケースもある。東京都では4月27日、特殊な解析ツールを使うことで、ワクチン予約システム上に保管する医療従事者27万人分の個人情報が閲覧できる状態だったことが、外部からの情報提供で発覚。Web予約の受け付けを一時的に止め、対策後に再開していた。
関連記事
- ワクチンの架空予約 加藤官房長官「悪質なケースは法的措置も視野」
新型コロナワクチンの大規模接種の予約システムに架空の接種券番号を入力すると接種予約ができる問題で、加藤勝信官房長官が「悪質なケースは法的措置も排除しない」と話した。 - 岸防衛相「不正な予約は接種機会を奪う悪質な行為」 ワクチン大規模接種の予約システムは「可能な範囲で改修」
一部報道が実際に予約システムを使って試した上で「架空の番号でも予約可能」などと報じたことが波紋を広げている。岸信夫防衛相は「極めて悪質な行為」と自身のTwitterアカウントに投稿。架空予約を行った報道社に対し抗議した。 - 大規模接種センターのワクチン接種予約スタート 専用サイトとLINEのみで受け付け
防衛省は、65歳以上の高齢者に対して5月24日から東京と大阪に開設する、新型コロナワクチンの大規模会場での接種予約を17日から始めた。専用サイトとLINEのみで受け付け、電話での予約は受け付けない。 - 東京都の医療従事者向けワクチン予約サイト、11日から再開
システムへの不正アクセスの懸念などから受け付けを停止していた東京都の医療従事者向け新型コロナワクチン接種のWeb予約について、東京都福祉保健局は5月11日午前9時に再開すると発表した。 - 医療従事者27万人の個人情報が閲覧できる状態に 東京都、ワクチン予約サイトを停止
東京都福祉保健局は医療従事者向けに公開した新型コロナワクチンの接種予約サイトで不具合が発生したため、Webでの予約受け付けを停止したと発表した。特殊なツールを使えば個人情報を外部から閲覧できる状態だったという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.