脆弱性を突く手口、IPA「見つけたらまず開発者やIPA窓口に報告して」 ワクチン予約システムの欠陥巡りName名無し21/05/18(火)23:27:37 IP:153.242.*(ocn.ne.jp)No.3923092そうだねx2
04日07:08頃消えます 大規模会場を使った新型コロナワクチンの接種予約システムの欠陥について、IPA(情報処理推進機構)は5月18日、取材に対し「脆弱性や手口を不特定多数に公開するのは望ましくない」とコメントした。脆弱性を発見した際は「まず開発者やIPAの窓口に報告してほしい」という。
脆弱性情報は、開発者が脆弱性を直すために必要な情報である一方で、攻撃に悪用される恐れがある情報でもある。このためIPAは「発見時は開発者に報告し、極秘事項にすること」とし、「報告せずに、脆弱性の存在をネット上にいきなり公開することは絶対に行ってはいけない」としている。また、攻撃者と疑われる可能性があることから「善意であっても必要以上に調査しないこと」ともしている。
IPAでは脆弱性を報告する専用窓口を設置し、情報提供を求めている。
予約システムの欠陥を巡っては、AERA dot.の記者が17日に公開した記事の中で、でたらめな番号を予約システムのフォームに入力しても予約が取れてしまうことを、実際のシステムで確かめたと記載。記事に具体的な手口があったことから「架空予約を誘導している」と報道に疑問を呈する声も上がった。
| …No.3923093+ この他、データベースを不正に操作する攻撃手法である「SQLインジェクション」が予約システムに対して可能という情報も流れたことから、脆弱性など欠陥を第三者が見つけた際の取り扱いについてネット上で議論が起きていた。 自治体では、当事者への通報によりシステムの不備が明らかになったケースもある。東京都では4月27日、特殊な解析ツールを使うことで、ワクチン予約システム上に保管する医療従事者27万人分の個人情報が閲覧できる状態だったことが、外部からの情報提供で発覚。Web予約の受け付けを一時的に止め、対策後に再開していた。 https://www.itmedia.co.jp/news/articles/2105/18/news145.html |
| …No.3923106そうだねx19この記事の通りだと思うぜ。毎日や朝日はなぜ記事にしたのかな。 |
| …No.3923131そうだねx16>No.3923106 そりゃ妨害を促進するためだろう |
| …No.3923133そうだねx20マスゴミって、昔から「犯行の手口」を紹介するよね。 |
| …No.3923223そうだねx3朝日毎日は情報セキュリティのコンプライアンス研修を1年ぐらいみっちり受けてから現場にでなきゃダメだわダメ |
| …No.3923688+海外のお客さまの要望に沿ったのでしょう。 |
| …No.3923698そうだねx11愛国者「脆弱性をついた攻撃だ!不正アクセスだ!」 防衛省「仕様です」 |
…No.3923706そうだねx3  ある日、ドジ子さんがいつも家の鍵をドアの前の植木鉢の下に隠して外出している事を、偶然に目にしたワル夫君 ワル夫君は何を思ったか、それを某人気掲示板に住所付きで大公開ドジ子「ワル夫君ヒドイわ!何でそんなひどい事をするの?」ワル夫「いや、君のためを思ってした事だよ!(意味不明)」 |
| …No.3923709そうだねx11国士様「マスコミは報道するな!」 防衛省「報道するのは別にいいです」 |
| …No.3924016+詳しい ムジナ |
| …No.3924023そうだねx7>IP:1.75.*(spmode.ne.jp) とりあえず何度も自分のレスにいいね連打するのはみっともないから止めようぜ |
| …No.3924024そうだねx5やっぱり気付くよな この件のスレで臭いレスしてそうだね盛ってるspmodeの存在 |
| …No.3924031+脆弱性をみつけたら、まず最初に中国人社員に教えて、そこから中華政府へ 自分の手は汚さずにポイントゲット |