  |
はてなキーワード: iPaとは
ワクチン大規模接種東京センターの予約システムで発生した、適当な数字を入力しても予約できるシステムの不備はバグなのか脆弱性(セキュリティホール)なのかを考えていこう。
もし、脆弱性であるとするならば、しかるべき報告フローを取る必要があるからだ。
記事の末尾に参考リンクをいろいろおいておいたので、詳細は確認してほしい。
この問題は、本来するべきチェック処理をしていないのだから、バグの一種といえる。
// ただ、改善する気がないのなら仕様となるのだろうけどね。
では、適当な数字を入れても予約できちゃうバグは、脆弱性(セキュリティホール)と言えるのか?
もし、脆弱性(セキュリティホール)となるなら、ゼロディでいきなり公開する前に、しかるべき報告フローを取るべきだ。
// ただ、新聞社は、ネットで噂になったものを取材して報道しただけであるから、ゼロディで公開とは言えないだろうけどな。
これはタダのバグであって、脆弱性(セキュリティホール)と呼ぶのは言い過ぎだろう。
例えば、教科書レベルの「"<script>alert("XSS");</script>」でXSSを発生させる意図的な入力をして、誤動作が発生するなら、それは間違いなく脆弱性(セキュリティホール)といえる。
同様に、SQLインジェクションを発生させる意図的な入力をして、何か変なことが起きれば、これも間違いなく脆弱性といえる。
他にも、超でかいデータを送りつけてバッファオーバーフローさせたり、特殊な入力をしてスタックを破壊して戻り値を改ざんして任意のコマンドを実行するみたいなものも同様に脆弱性と呼んでもいいだろう。
(注:念のために書いておくが、不正アクセスで違法になる可能性があるので、自分の所有するサイトやコンピュータ以外へは、これらの入力を試さないように。)
でも、ごく普通の入力をしても、エラーとしてはじかないで受け入れてしまうのは、脆弱性ではなく、タダのバグであるように思う。
「こういう操作したら、計算結果が変になった」はバグの領域であって、脆弱性とまでは言えない。
今までの話を簡単に言うとしたら、ドラクエ4で8回逃げたら会心の一撃が連続して出るのはバグなのか脆弱性なのか?って話になるのかな。
確かに、8回逃げることで、データのバッファオーバーフローが発生して、そのような結果になる。
でも、8回逃げるというはやろうと思えは誰でもできる動作であって、これをバグではなく脆弱性(セキュリティホール)と呼ぶのは違和感がある。
この裏技を見つけたとして、脆弱性としてしかるべき報告フローを取らずに公開したことを咎められるとしたら、実に変な話である。
これら裏技を試しても不正アクセスと言われて、罪を着せられたり、裏技の記事を削除されるとしたら、強烈な違和感がある。
今回の事件で、それが一番気になった。
最終的には、裁判で裁判所が決めることになるんだろうけど、あまりアホな判決を出して、日本のエンジニアの手足を拘束しないでほしいと思う。
参考URL:
■ドラクエ4で「にげる」8回でずっと会心の一撃になるバグ、こういう仕組みで起こってたらしい
https://b.hatena.ne.jp/entry/s/togetter.com/li/1715732
■「誰でも何度でも予約可能」ワクチン大規模接種東京センターの予約システムに重大欠陥
https://b.hatena.ne.jp/entry/s/dot.asahi.com/dot/2021051700045.html
■岸信夫 on Twitter: "自衛隊大規模接種センター予約の報道について。...
https://b.hatena.ne.jp/entry/s/twitter.com/KishiNobuo/status/1394440062125805572
■脆弱性の手口、IPA「見つけたらまず開発者やIPA窓口に報告して」 コロナワクチンの架空予約巡り
https://b.hatena.ne.jp/entry/s/www.itmedia.co.jp/news/articles/2105/18/news145.html
■Hiromitsu Takagi on Twitter: "私はこの届出制度の提唱者・設計者・運用協力者・有識者研究会委員であり、IPAの広報が取材にこんな回答をしたのであれば、出鱈目であり、...
https://b.hatena.ne.jp/entry/s/twitter.com/HiromitsuTakagi/status/1394713619212816385
■ワクチン大規模接種「架空ウェブ予約」やったら犯罪? 国は「法的手段」に言及
https://b.hatena.ne.jp/entry/s/www.bengo4.com/c_23/n_13071/
■確認作業は公益性高い、毎日新聞 接種センター架空入力は取材目的
https://b.hatena.ne.jp/entry/s/this.kiji.is/767285347672670208
https://b.hatena.ne.jp/entry/s/dot.asahi.com/info/2021051900065.html
というのが常識
まとめサイトなんかで色々試したり暴露してるヤカラは完全にアウト
マスコミが政府システムの不備を指摘、となると別の事情になる可能性もあるが、基本的にIT業界の人はそれにも批判的だと思う
追記:
毒ガス事件の報道をする時に、毒ガスの作り方を視聴者が作れるくらい詳しく報道するべきでないのと同様に、システムの脆弱性の報道をする時に、視聴者が脆弱性を突くことができるくらい詳しく報道すべきではない。— nishio hirokazu (@nishio) May 18, 2021
アエラ「仕様がおかしいとタレコミがあったので検証した」
防衛省「仕様です」
って流れなんだから、脆弱性ではないという点で当事者は一致している、というのは強調しておきたいところ— Kazuho Oku (@kazuho) May 18, 2021
やるべきことはひとつです。
https://www.ipa.go.jp/security/vuln/report/
https://www.npa.go.jp/cyber/kanminboard/siryou/sec_hole/partnership.html
間違っても、5chに「SQLインジェクションできる」などと書き込んだり、個人のブログで脆弱性をつく手口を公開したりすべきではありません。
また、それらの情報を粗雑な粒度でまとめたツイートやまとめサイト記事などの拡散に協力すべきでもありません。
上記の行為は、法的責任に問われる可能性があるだけでなく、当該サイトを攻撃のリスクに晒す行為でもあります。
もちろん、日々圏論やデータ分析の記事をブクマし、技術力の向上に努める技術寄りのはてな民が情報セキュリティ教育の基礎の基礎をすっ飛ばしているとは思いませんので、釈迦に説法とは思いますが、一応のリマインドとして置いておきます。
本来なら各自治体が作成した優先接種対象者の情報(マイナンバー、接種券番号、氏名、生年月日)を大規模予約システムに集約し照合をかけるべきだった。
しかしなあ、優先接種対象者の連携仕様ができたのいつだと思う?ついこの間の4月だよ。
ベンダー側のプログラム入替が完了してなくて未対応の自治体がほとんどだよ。
防衛省の仕様段階で照合なしの予約システムだったのは確定だろう。
存在しない生年月日と自治体コードくらいはバリデーションすべきだとは思うが、
リリース前に開発元がやれたことといったらそのくらいしかない。
あとSQLインジェクションの噂があるが、本当であれば速やかにIPAなり開発元なり防衛省なりに通知すべきことで、噂だけ広めていいことじゃないだろう。
個人情報記載書類とか社内の重要書類とか指定の場所に仕舞って退社するっていう決まりを会社側が定めていないのだろうか。コンプラ的にその机の状態はまずいでしょう。
IPAの情報セキュリティ自社診断では机上の書類関連は従業員としての対策欄ですし…。
https://www.ipa.go.jp/security/keihatsu/sme/guideline/index.html
あとはもう、全部閉まって帰る→1か月以上使用しなかった書類はもう必要ないと判断してシュレッダーにかけてちょっとずつ片付けていくしかないのでは。
一時期ビアバーにはまってクラフトビールばかり飲んでいた。なんだか甘さが鼻につくような気分の時はあったが、これがおいしいビールなんだと思って飲んでいた。
でも引っ越し先のスーパーにあったドイツのダルグナーピルスナーを飲んで、自分がビールに求めていたものはこれだったと漸く知った。
程々にドライ、程々に麦のうまみ、割と強めのホップ。これでいいんだよ…。
甘さがくどくないし、自分はホップが好きでクラフトビールは好きじゃ無かったとやっと知ることができた。クラフトビールの IPA の半額くらいだし。
箱買いしようと思ったが、ダブルダース買っても近所のスーパーのバラ売りの方が安い。買いに行くついででやたらうまくてやたら安い惣菜でも買ってみたまえよ。健康になっちゃう。幸せになっちゃうよ…。ありがとう…。
https://www.ipa.go.jp/security/controlsystem/riskanalysis.html
IPAの資料だけど攻撃者が全員男性なのね。半分は女性でないとおかしいですよね。
https://www.npa.go.jp/bureau/safetylife/sos47/case/oreore/
ざっとTwitterをみていても誰がやったみたいなのは出てこなかった。
そもそもセキュリティ・キャンプ全体の雰囲気でハラスメントギリギリなことが多いのが個人的には苦手で、変な正義感が働いてしまったのもあるが、こういうのをみる深堀りしたくなってIPAのプログラムのページを見に行って web.archive.org で同じURLを開いて差分を目視で確認していた。プロデューサーの部分の差分があるのがわかって「もしかして...この人?」という予測を立ててしまったんだけど、いやいやそんな...。となってしまいかなりショックが大きい。別に犯人探しがしたいわけではないが、好奇心で調べてしまってなんかショックを受けてしまった...。
https://r.gnavi.co.jp/g-interview/entry/tamaoki/5183
を読んで思ったこと。
「釜めしのアタマみたいに素朴な食べ物と合うのは普通酒。」「本来なら現地に行かないと飲めない酒。」と書いてあってこれは普通酒ではあるけれども普通の酒では無いのだなあと思った。
自分は日本酒にまったく詳しくない。特に詳しくなろうと思ったこともない。でもどちらかと言えば日本酒は好きだ。
(最近は行ってないけれど)居酒屋やそば屋なんかでメニューに「日本酒」とだけ書かれているような日本酒でも飲めば結構美味いと感じる。
ただのバカ舌かもしれない。
とにかくこういう銘柄を指定しないで出てくるのが普通の酒じゃないかと思う。
一方ビールはそんなに好きじゃない。近年増えたIPAは好きだ。
居酒屋とかでビールとか生ビールとだけ書かれているようなビールは真夏の喉が渇いているとき以外は頼まない。
あとウイスキーはとても好きだ。
コロナの前はバーでシングル数千円のウイスキーをストレートでバーテンダーの蘊蓄を聞いたりしながら飲んでた。
今はバーに行けないから毎日酒屋のサイトでウイスキーを見てたまに買う。
でも居酒屋とかでは絶対に「ウイスキー」・「水割り」・「ハイボール」・「ロック」と書かれたものは頼まない。
銘柄が書かれていても基本的には水割りやハイボールは頼まない。
在学期間的にろくに引き継がれねぇ情報.
サポート切れのIPA,PHP,Apacheでうごくubuntu 12.04のオンボロサーバ,構築方法がよくわからん古代の遺物
クソ見てえなシステムリプレースしたいが金も入らねぇし,時間も食いたくねぇ.研究に時間を使わせろ.
サバ缶の俺は今日もサービスが止まったらsudo rebootとsudo service restartしかしねぇ.
WindowsのLAMP環境でソフトを作ってこれサーバで動かせない?とか言ってくる同期,良いけどいっしょにDockerかVM導入しよ!
よくインターネットでIPAの資格は意味ないと聞くけど、就活においては滅茶苦茶有利だった。
楽天みん就IT企業ランキングで11~100位の企業を9社受けて、1社だけチャレンジとして身の丈に合わない会社を受けてみた。
結果は、10社受けて1個も落ちなかった。
インターネットではIPAの資格を取っても何のスキルも身につかず無駄だとよく言われる。
確かにその通りだと思う。この資格を取ったところで何が出来るかと言われたら特にないし、「情報系の基礎的な知識」と「長い文章を理解できる能力」が示せるくらい。
でも、就活においてはこの資格は最強だった。特に自分のような中堅大学の学生が早慶上理が狙うような企業にチャレンジする点に至っては。
| 時間 | 記事数 | 文字数 | 文字数平均 | 文字数中央値 |
|---|---|---|---|---|
| 00 | 94 | 9605 | 102.2 | 39.5 |
| 01 | 59 | 6752 | 114.4 | 53 |
| 02 | 36 | 4903 | 136.2 | 35 |
| 03 | 20 | 1802 | 90.1 | 32.5 |
| 04 | 12 | 993 | 82.8 | 67.5 |
| 05 | 21 | 9600 | 457.1 | 31 |
| 06 | 25 | 2321 | 92.8 | 44 |
| 07 | 19 | 2426 | 127.7 | 86 |
| 08 | 46 | 5116 | 111.2 | 44.5 |
| 09 | 70 | 9005 | 128.6 | 67.5 |
| 10 | 111 | 10473 | 94.4 | 65 |
| 11 | 141 | 11613 | 82.4 | 48 |
| 12 | 81 | 14155 | 174.8 | 44 |
| 13 | 109 | 16554 | 151.9 | 39 |
| 14 | 102 | 12163 | 119.2 | 51 |
| 15 | 91 | 11743 | 129.0 | 58 |
| 16 | 68 | 11250 | 165.4 | 75.5 |
| 17 | 133 | 16112 | 121.1 | 53 |
| 18 | 165 | 20305 | 123.1 | 54 |
| 19 | 154 | 15080 | 97.9 | 46 |
| 20 | 178 | 16946 | 95.2 | 38.5 |
| 21 | 146 | 11763 | 80.6 | 30.5 |
| 22 | 121 | 14016 | 115.8 | 38 |
| 23 | 116 | 16355 | 141.0 | 56 |
| 1日 | 2118 | 251051 | 118.5 | 47 |
PUNK(5), よなよな(5), 北西(4), IPA(21), 青鬼(5), 天皇賞春(3), いたみ(4), 違法判決(3), beer(3), バクシンオー(3), すっとん(3), 女装(9), ウマ娘(18), 身体的(5), 異論(7), 黒(18), 自明(8), 日曜(6), 白(15), 言論(6), 課長(5), IQ(7), すなわち(7), ぶつかっ(6), 呼び(8), 美しい(12), 治安(9), 加害(13), 肌(13), BL(17), セーフ(9), 支配(12), 狙っ(9), 犯罪者(14), ゲイ(11), 大企業(9), ニート(11)
■個人的に苦手なオタクコンテンツやジャンル /20210328112615(24), ■[人間性センター] 忌々しい「はてラボ人間性センター」に自動で解答する、人間性を備えたロボットを自作したので共有する /20210328163443(16), ■美白って明らかに「黒は汚い」って概念も内包してるよね? /20210328094627(14), ■【追記】Macbookデビューしたので知恵を授けてほしい /20210328195105(12), ■彼女がいないと言い張る男 /20210326130831(11), ■anond:20210323082630 /20210328093502(8), ■BLが性的消費って普通におかしくない? /20210323220429(8), ■「受信料分の価値がある素晴らしい番組」はいらない /20210328085620(6), ■英語を喋るしか能がない人 /20210327201219(6), ■キリンのスプリングバレー /20210328193749(6), ■全然使われないダースとかいう単位 /20210327082442(6), ■読みも4文字の四字熟語は「陸奥話記(むつわき)」しかない /20210328114022(6), ■光熱費が高すぎる /20210327235717(6), ■セクハラって何が悪いの?殴られるわけでもないんだから別に良いだろ /20210328125732(6), ■自分も新卒で5日後には働いてるけどマジで終わる気しかしない /20210327200531(6), ■サクラバクシンオーのシナリオが笑えない /20210328140057(6), ■学歴、能力差別って保守じゃね? /20210328075832(6), (タイトル不明) /20170713200117(5), ■違う人生すぎる /20210328055733(5), ■名前みたいな姓ってどんなのがある? /20210326143830(5), ■機械学習・深層学習・pythonの初心者向け教材 /20210328122157(5), ■ウマ娘で現状の最適解の育成方法教えてやる /20210328125424(5), ■anond:20210328181404 /20210328181701(5), ■これで煽り運転とか言われたらたまったもんじゃない /20210328181916(5), ■ /20210328192121(5), ■「まぁ悪くないかな」みたいな言い方をする男 /20210328193121(5)
