はてなキーワード: 架空とは
現状では、自治体コード、接種番号、生年月日以外は入力しないので、ユーザーに悪意がなくとも次のような問題がある。
・6桁の数値・10桁の数値・生年月日の入力では必ず一定割合で入力ミスが発生するのに、それをリカバリーする方法がない
(初回に間違えて入力したら後から訂正・キャンセルすることが難しい)
・確認メールが送られてこないので、利用者が本当に予約しているのか確認するのが難しい
・現地での予約確認に番号と生年月日だけで付き合わせないといけないので面倒&間違いが発生する
(1日10,000人だと30分で500人の受付をすることになる。それを番号と生年月日だけで間違いなくやれるのか?)
・現地で番号が一致しなかった場合に入力ミスなのか、予約をしていない・できていないのか判断がつかない
・1回目の予約で入力間違いがあった場合に2回目の予約はどうするの?
・現地での2回目の入力で番号の入力ミスがあったら、後でキャンセル・変更ができないのでは?
コロナ禍で美術館とかで無料でも予約必須になったりしているけど、ここまでひどいのは無くて、少なくともメールアドレス(or 電話番号)、氏名は入力させている。
だから、大規模接種の予約サイトもメールアドレス・氏名の入力を必須にして、メールを届いたことを確認した上で認証するようにすればいい。
一番問題なのは架空予約で予約が一杯になることだとおもうからそれだけは改善したい。
本人確認書類とか出させるとサポートのオペレーションがやばくなるのでそれは無理。個人情報もつのもやばい。
それ以外で何ができるか考えてみる。
実際の予約画面触ってないから見当違いなのもあるかも。
住所のバリデーションちゃんとして、対象地域以外登録できないようにする。
あとは現行と同じなんだけど、予約完了したら登録住所にはがきを出す。
配達記録追跡サービスを使えば到着状況を確認できるので届いてる人が真正な予約者と確認できる。
はがきにパスワードつけといてそれでマイページ見られるようにすればいいかも。
金はかかるけどはがきなら高齢者もわかりやすいし特に混乱なく行けそう。はがき届かなかったんですけどって言って当日会場に来た人にもワクチン打ってあげるといい。
住所書き間違いとかで届かなかった場合には問い合わせが来るだろうからオペレーションコストは上がる。
電話番号登録したら電話かかってきて機械音声のいう番号を次の画面に入力するあれ。
現行のシステムにこれだけ追加する。
torからbotで予約させるのを防ぐには十分だと思うけど、おじいちゃんおばあちゃんには難しいかなあ。
画像選択させるやつは老人には無理だからどんなやつにするかは考えなくちゃだけど、とにかく人間性の確認を行ってbot避けだけは何とかする。
これはたいして開発期間かからなさそう。
チェックデジット理解してる? チェックデジットは善意のユーザが一桁ないしは隣り合う数字をtypoしたときに誤りであると計算で判定できるだけで、悪意のユーザを防ぐ性質のものではないよ。誤登録の防止にはなるが、悪戯での架空番号の登録を防止できるものではない。
接種券番号の有効性確認せず何でも受け付ける以上は、Luhnアルゴだろうがdamm法だろうがチェックデジットを悪意のユーザ側で算出して付加すればいいんだから。
接種券番号の採番及び管理の運用の誤りは既に散々指摘されており、ひろみちゅ先生が言うとおり一年前の自治体での接種業務のフローを厚労省が検討する際に原因はある(ただそのタイミングでは各自治体での接種が原則で、それに基づく業務フローを決めていたので、防げたかというと怪しい)ので、システムの問題と言うより業務フローの問題。
立命館大の上原教授が提言してたが、個人情報突合せシステム作るよりも、予約番号をチェックデジット方式にすればかなりの悪戯や架空番号登録は防げた
たとえば、100万件架空番号を入れました
そんなもん、通信記録から、誰がやったかすぐわかるから警察に電話して終了だろ
そのレベルは捕まえないと
なぜそんなことをしたのかわからない
悪意があったら逮捕でいいだろ
自衛隊東京ワクチン接種web予約でGoogle Analytics使われてるけどプライバシー ポリシーも同意もない。
規約違反では?
(ただ、GDPRに違反してるだけで国内向けにはよいのかもしれない)
お客様はプライバシー ポリシーを公開し、そのプライバシー ポリシーで Cookie の使用、モバイル デバイスの識別情報(Android の広告識別子、iOS の広告識別子など)、またはデータの収集に使われる類似の技術について必ず通知するものとします。また、Google アナリティクスを使用していること、および Google アナリティクスでデータが収集、処理される仕組みについても開示する必要があります。
https://marketingplatform.google.com/about/analytics/terms/jp/
防衛省の案内にもない。
https://www.mod.go.jp/j/approach/defense/saigai/2020/covid/center.html
ここでも一時期叩かれてたけど、あれはブームだからそうしてただけでコインハイブもブラクラも許された?
兵庫県警ホームページ、利用者に告知なく導入していたGoogleアナリティクスを撤去
https://internet.watch.impress.co.jp/docs/yajiuma/1173873.html
ワクチン大規模接種東京センターの予約システムで発生した、適当な数字を入力しても予約できるシステムの不備はバグなのか脆弱性(セキュリティホール)なのかを考えていこう。
もし、脆弱性であるとするならば、しかるべき報告フローを取る必要があるからだ。
記事の末尾に参考リンクをいろいろおいておいたので、詳細は確認してほしい。
この問題は、本来するべきチェック処理をしていないのだから、バグの一種といえる。
// ただ、改善する気がないのなら仕様となるのだろうけどね。
では、適当な数字を入れても予約できちゃうバグは、脆弱性(セキュリティホール)と言えるのか?
もし、脆弱性(セキュリティホール)となるなら、ゼロディでいきなり公開する前に、しかるべき報告フローを取るべきだ。
// ただ、新聞社は、ネットで噂になったものを取材して報道しただけであるから、ゼロディで公開とは言えないだろうけどな。
これはタダのバグであって、脆弱性(セキュリティホール)と呼ぶのは言い過ぎだろう。
例えば、教科書レベルの「"<script>alert("XSS");</script>」でXSSを発生させる意図的な入力をして、誤動作が発生するなら、それは間違いなく脆弱性(セキュリティホール)といえる。
同様に、SQLインジェクションを発生させる意図的な入力をして、何か変なことが起きれば、これも間違いなく脆弱性といえる。
他にも、超でかいデータを送りつけてバッファオーバーフローさせたり、特殊な入力をしてスタックを破壊して戻り値を改ざんして任意のコマンドを実行するみたいなものも同様に脆弱性と呼んでもいいだろう。
(注:念のために書いておくが、不正アクセスで違法になる可能性があるので、自分の所有するサイトやコンピュータ以外へは、これらの入力を試さないように。)
でも、ごく普通の入力をしても、エラーとしてはじかないで受け入れてしまうのは、脆弱性ではなく、タダのバグであるように思う。
「こういう操作したら、計算結果が変になった」はバグの領域であって、脆弱性とまでは言えない。
今までの話を簡単に言うとしたら、ドラクエ4で8回逃げたら会心の一撃が連続して出るのはバグなのか脆弱性なのか?って話になるのかな。
確かに、8回逃げることで、データのバッファオーバーフローが発生して、そのような結果になる。
でも、8回逃げるというはやろうと思えは誰でもできる動作であって、これをバグではなく脆弱性(セキュリティホール)と呼ぶのは違和感がある。
この裏技を見つけたとして、脆弱性としてしかるべき報告フローを取らずに公開したことを咎められるとしたら、実に変な話である。
これら裏技を試しても不正アクセスと言われて、罪を着せられたり、裏技の記事を削除されるとしたら、強烈な違和感がある。
今回の事件で、それが一番気になった。
最終的には、裁判で裁判所が決めることになるんだろうけど、あまりアホな判決を出して、日本のエンジニアの手足を拘束しないでほしいと思う。
参考URL:
■ドラクエ4で「にげる」8回でずっと会心の一撃になるバグ、こういう仕組みで起こってたらしい
https://b.hatena.ne.jp/entry/s/togetter.com/li/1715732
■「誰でも何度でも予約可能」ワクチン大規模接種東京センターの予約システムに重大欠陥
https://b.hatena.ne.jp/entry/s/dot.asahi.com/dot/2021051700045.html
■岸信夫 on Twitter: "自衛隊大規模接種センター予約の報道について。...
https://b.hatena.ne.jp/entry/s/twitter.com/KishiNobuo/status/1394440062125805572
■脆弱性の手口、IPA「見つけたらまず開発者やIPA窓口に報告して」 コロナワクチンの架空予約巡り
https://b.hatena.ne.jp/entry/s/www.itmedia.co.jp/news/articles/2105/18/news145.html
■Hiromitsu Takagi on Twitter: "私はこの届出制度の提唱者・設計者・運用協力者・有識者研究会委員であり、IPAの広報が取材にこんな回答をしたのであれば、出鱈目であり、...
https://b.hatena.ne.jp/entry/s/twitter.com/HiromitsuTakagi/status/1394713619212816385
■ワクチン大規模接種「架空ウェブ予約」やったら犯罪? 国は「法的手段」に言及
https://b.hatena.ne.jp/entry/s/www.bengo4.com/c_23/n_13071/
■確認作業は公益性高い、毎日新聞 接種センター架空入力は取材目的
https://b.hatena.ne.jp/entry/s/this.kiji.is/767285347672670208
https://b.hatena.ne.jp/entry/s/dot.asahi.com/info/2021051900065.html
現状のシステムでも給付金とかなら問題ない。不正な申請は事後的に回収すればいいし、予約者が会場に現れなくても現金が腐ることはない。また、悪質な奴は威力業務妨害などでしょっぴけばいい。だが、今回のワクチンは希釈したら6時間以内に使い切らないといけない。そうなるとno showの場合はワクチンが無駄になる。ただでさえ確保数の問題があるのだから、これは致命的だ。
そうなると極力不正な予約は弾くべきのものだ。どうすればいいか。最低限弾くべきは架空番号と、同一番号の複数予約だ。自治体接種との2重予約はこの際許容すべきリスクとして、自治体側の予約とは連動させない。そして、大規模接種会場の対象は全国ではなく、東京・大阪とその近隣自治体の住民なのだから、数は限られている。
なので、シンプルに発行済番号リストを自治体から手に入れて防衛省側のDBの中に入れてしまえばよかった。これなら、自治体との連絡などの手間はあるが、開発も自治体側の出力作業も大した工数ではないだろう。
ただ、23区でも接種券が届いていない自治体がある。そうなると発行された自治体住民から順次予約開始となる。どのみち券が手元になければ現状でも予約も接種も出来ない。ビョウドウセイを期すなら、対象自治体が全て接種券が発行されてからにしてもいいかもしれない。
これでも、総当りすれば突破できてしまうが、現状よりマシだしアクセスログから不正な予約は検知できそうなので許容範囲であろう。また、万全を期すなら自治体から入手するデータに誕生日も含めて本人確認に利用すれば総当りも防げるだろう。
最初、音がごちゃごちゃしていてうるさくってナルシスティックでなんて気に触る曲だろうと思った。
でも音の抜き方が絶妙でおしゃれでどうしてもやるせなくてかっこいいと思ってしまった。
ベスト盤を借りてきてひと通り聞いてその一枚で充分で、ほかのバンドと同じようにそのまま記憶の隅に眠ると思った。
それでも他のデータがウォークマンの残り容量を食っていってもたまに取り出しては聴いて、私は椿屋四重奏を消せなかった。
彼らを見つける前の話をする。
もし音楽に物心がつく時があるならば私の場合志村正彦に出会った時だ。
シンプルなのに予想と異なり期待を上回る音が大好きだ。だからこそ限られた曲をすべて聴く勇気が今でも出ない。すべてが予想通りの志村正彦の音楽になってしまうのが恐ろしくて堪らない。
必死になって代替品を探した。彼のルーツ、好きだと話した音楽、同年代の音楽。分かったのは私はロックがあまり好きではないということと同じものはないということ。
閑話休題。
月日は経ちひょんなことからノイジーな音楽が入り用になった。私のウォークマンの中で一番うるさいのは椿屋四重奏だった。周りの音を掻き消せば事足りた。
深紅なる肖像、薔薇とダイヤモンド、TOKYO CITY RHAPSODY、CARNIVAL。
アルバム一枚分ずつ椿屋四重奏がウォークマンを侵食していった。彼らは欲しい音を激しい音も穏やかな音も確実に鳴らしていった。
孤独のカンパネラを鳴らせ、一枚だけが残っても躊躇はなかった。その名の通り椿の落ちるような鮮やかな解散はただただ美しく見えた。
椿屋四重奏が残した映像はあまりにすくない。音も画面もバキバキでみにくかったが中田裕二の歌だけは際立っていた。ナルシスティックに聞こえた歌は、つぎはぎだらけの架空のかっこよさではなくそのまま彼から出ているものだということを数年ごしに知った。
もっとその声が欲しくなってしまった。中田裕二は生きているから。怖々と私はソロの楽曲を試聴した。椿屋然とした曲は最初なじまなかった。それでもやわらかであでやかさを増した楽曲達は椿屋四重奏よりもずっと好みだった。
椿屋四重奏と同じ数だけのアルバムがウォークマンに収まる頃には私は椿屋四重奏よりもむしろ中田裕二に魅入られていた。
いつから手遅れになったのだろう、とたまに思う。
ギターの弾き語りだとその声がよく引き立つことに気がついた時から?
école de romantismeのさみしさを孕んだうつくしさに聞き入ってしまったから?
ライブごとに曲のアレンジを変えた最高の状態で演奏しつづけるさまを見せられたから?そもそも椿屋四重奏をきいた時からだろうか。
春あたりに一年に一回のペースで出るフルアルバムとそれに伴うバンド編成によるツアー、全国での弾き語り、年によってはトリオなどのトリッキーな編成のツアーをこなされたらほかに気がうつる暇もない。去年はひまだからなんていって二作品もアルバムを出してしまった。
ワイン、ウイスキー、日本酒と忙しなく熱を注ぐのを見てしょうがない人だなと思う。調味料の話します!と話してもの足りなさそうに切り上げるのを見て面倒な人だなと思う。
でも、アルバムが出るたびライブを見るたび、何度でも魅入ってしまう。最高の演奏の後、これからも好きなようにやりますとへらへらと笑っているのを見たらお願いだから好きなようにやってくれと心から思うのだ。
まるで炎のように常に揺らめいて姿を変えて魂ごと取り込まれてしまいそうなほど、見入ってしまう。
血を吐き出すようだった椿屋四重奏という季節に囚われないでいい。
でもたまに歪んだエレキギターをかき鳴らすのも聴きたい。
おだやかなPredawnも激しい群青も全部等しく愛している。