  |
ワクチン大規模接種東京センターの予約システムで発生した、適当な数字を入力しても予約できるシステムの不備はバグなのか脆弱性(セキュリティホール)なのかを考えていこう。
もし、脆弱性であるとするならば、しかるべき報告フローを取る必要があるからだ。
記事の末尾に参考リンクをいろいろおいておいたので、詳細は確認してほしい。
この問題は、本来するべきチェック処理をしていないのだから、バグの一種といえる。
// ただ、改善する気がないのなら仕様となるのだろうけどね。
では、適当な数字を入れても予約できちゃうバグは、脆弱性(セキュリティホール)と言えるのか?
もし、脆弱性(セキュリティホール)となるなら、ゼロディでいきなり公開する前に、しかるべき報告フローを取るべきだ。
// ただ、新聞社は、ネットで噂になったものを取材して報道しただけであるから、ゼロディで公開とは言えないだろうけどな。
これはタダのバグであって、脆弱性(セキュリティホール)と呼ぶのは言い過ぎだろう。
例えば、教科書レベルの「"<script>alert("XSS");</script>」でXSSを発生させる意図的な入力をして、誤動作が発生するなら、それは間違いなく脆弱性(セキュリティホール)といえる。
同様に、SQLインジェクションを発生させる意図的な入力をして、何か変なことが起きれば、これも間違いなく脆弱性といえる。
他にも、超でかいデータを送りつけてバッファオーバーフローさせたり、特殊な入力をしてスタックを破壊して戻り値を改ざんして任意のコマンドを実行するみたいなものも同様に脆弱性と呼んでもいいだろう。
(注:念のために書いておくが、不正アクセスで違法になる可能性があるので、自分の所有するサイトやコンピュータ以外へは、これらの入力を試さないように。)
でも、ごく普通の入力をしても、エラーとしてはじかないで受け入れてしまうのは、脆弱性ではなく、タダのバグであるように思う。
「こういう操作したら、計算結果が変になった」はバグの領域であって、脆弱性とまでは言えない。
今までの話を簡単に言うとしたら、ドラクエ4で8回逃げたら会心の一撃が連続して出るのはバグなのか脆弱性なのか?って話になるのかな。
確かに、8回逃げることで、データのバッファオーバーフローが発生して、そのような結果になる。
でも、8回逃げるというはやろうと思えは誰でもできる動作であって、これをバグではなく脆弱性(セキュリティホール)と呼ぶのは違和感がある。
この裏技を見つけたとして、脆弱性としてしかるべき報告フローを取らずに公開したことを咎められるとしたら、実に変な話である。
これら裏技を試しても不正アクセスと言われて、罪を着せられたり、裏技の記事を削除されるとしたら、強烈な違和感がある。
今回の事件で、それが一番気になった。
最終的には、裁判で裁判所が決めることになるんだろうけど、あまりアホな判決を出して、日本のエンジニアの手足を拘束しないでほしいと思う。
参考URL:
■ドラクエ4で「にげる」8回でずっと会心の一撃になるバグ、こういう仕組みで起こってたらしい
https://b.hatena.ne.jp/entry/s/togetter.com/li/1715732
■「誰でも何度でも予約可能」ワクチン大規模接種東京センターの予約システムに重大欠陥
https://b.hatena.ne.jp/entry/s/dot.asahi.com/dot/2021051700045.html
■岸信夫 on Twitter: "自衛隊大規模接種センター予約の報道について。...
https://b.hatena.ne.jp/entry/s/twitter.com/KishiNobuo/status/1394440062125805572
■脆弱性の手口、IPA「見つけたらまず開発者やIPA窓口に報告して」 コロナワクチンの架空予約巡り
https://b.hatena.ne.jp/entry/s/www.itmedia.co.jp/news/articles/2105/18/news145.html
■Hiromitsu Takagi on Twitter: "私はこの届出制度の提唱者・設計者・運用協力者・有識者研究会委員であり、IPAの広報が取材にこんな回答をしたのであれば、出鱈目であり、...
https://b.hatena.ne.jp/entry/s/twitter.com/HiromitsuTakagi/status/1394713619212816385
■ワクチン大規模接種「架空ウェブ予約」やったら犯罪? 国は「法的手段」に言及
https://b.hatena.ne.jp/entry/s/www.bengo4.com/c_23/n_13071/
■確認作業は公益性高い、毎日新聞 接種センター架空入力は取材目的
https://b.hatena.ne.jp/entry/s/this.kiji.is/767285347672670208
https://b.hatena.ne.jp/entry/s/dot.asahi.com/info/2021051900065.html
防衛省が仕様って言ったから仕様 っていう説はあるね
つまり、それは仕様であって、バグでも脆弱性でもないという意見ですね。 変な仕様のシステムがあったっていう話で。 このあたりの線引がきれいに行われると、より良いと思います。...
バグであったとして、バグを使った業務妨害の方法を公にしたのはどうかと思う。今後阿呆が大量予約とキャンセルで業務妨害を行なった場合、その責任の一端を報道機関は取りましょ...
もともとネットで話題になっていたものを、検証して記事にしたに過ぎないので、これを公にするという言い方は変に思う。
それで、どうやれば簡単に予約ができる脆弱性は見つかったのかい?
文法がおかしいのは何故なんだぜ?
バグじゃないか。
MSやグーグルだったら報奨金をくれそう 大企業じゃなくても教えてくれてありがとうが世界標準だろうに 暴露するな 隠ぺいしたいから俺にだけこっそり教えろってなんだよ北朝鮮かよ
運営元に通報すると報奨金が出ることはあるが、それをせずに掲示板やまとめサイトでおもちゃにして報奨金なんてあるわけないだろう。 悪の政府が作った悪のシステムを潰す正義の戦...
日本は防衛小にだけこっそり通報した場合すら逮捕の可能性があるからな もちろん隠蔽される可能性のほうが高い 世界標準と別の基準で動く国が日本だから報道を先にして国民で情報を...
報奨金の額がしょぼい、または、手続きが面倒とかで、 ネットの掲示板にばらまいてみんなで遊んだほうがマシってことなんじゃないのかな。 おもちゃにしているだけならまだマシで、...
脆弱性とかバグとか仕様とか、そういう言葉遊びにしてしまうのが左翼のダメなところだよね。 防衛省の対応やシステムがお粗末なのは間違いないけどさ。
防衛省のいうことは、ウイグルやミャンマーを報道するなと中国やミャンマー軍が言ってるようなこと
プログラムはソースではっきりと証拠が残ってしまうから、員数主義でごまかせず日本が不利な分野なのか
言葉遊びではなくて、ちゃんと線引をしないと危険だよってことだよ。
脆弱性ではあるが、バグではないね。 脆弱性は「バグのひどいもの」ではないよ。 バグとは、実装意図と異なる挙動をすること。脆弱性とは、情報セキュリティ上の欠陥を指す。 例え...
それはイケていない仕様または設計ミスであって、脆弱性と呼ぶのは違和感がある。
架空番号も受け付けるシステムって仕様だから脆弱性ではない。
それは仕様であって、バグでも脆弱性でもないという意見ですね。 変な仕様のシステムがあったっていう話で。
11
