wellcome

過去記事

【正論】 IPA「報告せずに、脆弱性の存在をネット上にいきなり公開することは絶対に行ってはいけない」

2021年5月19日水曜日

IT

hello
t f B P L

1 :風吹けば名無し:2021/05/18(火) 23:24:11.62 ID:9NEI5cKQM.net
大規模会場を使った新型コロナワクチンの接種予約システムで架空の予約ができてしまう問題について、
IPA(情報処理推進機構)は5月18日、取材に対し「脆弱性や手口を不特定多数に公開するのは望ましくない」とコメントした。
脆弱性を発見した際は「まず開発者やIPAの窓口に報告してほしい」という。
脆弱性情報は、開発者が脆弱性を直すために必要な情報である一方で、攻撃に悪用される恐れがある情報でもある。
このためIPAは「発見時は開発者に報告し、極秘事項にすること」とし、
「報告せずに、脆弱性の存在をネット上にいきなり公開することは絶対に行ってはいけない」としている。
また、攻撃者と疑われる可能性があることから「善意であっても必要以上に調査しないこと」ともしている。
架空予約の問題を巡ってはAERA dot.の記者が17日に公開した記事の中で、でたらめな番号を予約システムのフォームに入力しても
予約が取れてしまうことを、実際のシステムで確かめたと記載。予約後には「予約をキャンセルした」としているものの、
具体的な手口を明らかにした報道手法に対し、Twitterでは「模倣犯による犯行を誘導している」などの指摘が出ていた。
https://www.itmedia.co.jp/news/articles/2105/18/news145.html#:~:text=%E3%83%AF%E3%82%AF%E3%83%81%E3%83%B3
3 :風吹けば名無し:2021/05/18(火) 23:24:22.77 ID:9NEI5cKQM.net
ええんか?
4 :風吹けば名無し:2021/05/18(火) 23:24:29.02 ID:9NEI5cKQM.net
どうすんのこれ…
5 :風吹けば名無し:2021/05/18(火) 23:24:33.00 ID:+z5+ltUL0.net
どこの反日集団だよ!
6 :風吹けば名無し:2021/05/18(火) 23:24:36.41 ID:wgmiEViMM.net
正論
7 :風吹けば名無し:2021/05/18(火) 23:24:48.83 ID:aQd9WBNlM.net
これな
8 :風吹けば名無し:2021/05/18(火) 23:25:15.59 ID:2WpVjB8vM.net
こっそり企業に言えってことやろ?
正論やん
420 :風吹けば名無し:2021/05/18(火) 23:48:30.34 ID:txsWQtZj0.net
>>8
程度によっては善意であっても逮捕されるんじゃない?
9 :風吹けば名無し:2021/05/18(火) 23:25:16.35 ID:ItCt9hFf0.net
これにはパヨクもだんまり
10 :風吹けば名無し:2021/05/18(火) 23:25:49.48 ID:lIJDYmwE0.net
COCCAさん…
11 :風吹けば名無し:2021/05/18(火) 23:25:55.12 ID:bxlJIuse0.net
なお日本企業はMSとかと違って逆に報告者を犯罪者扱いする模様
12 :風吹けば名無し:2021/05/18(火) 23:25:57.95 ID:pxBQc9YnM.net
報告済み定期
13 :風吹けば名無し:2021/05/18(火) 23:26:01.01 ID:Az8SCTM50.net
これって気づかない方がやばい不具合だろ
22 :風吹けば名無し:2021/05/18(火) 23:26:52.05 ID:bxlJIuse0.net
>>13
まともにテストしてへんてことやからな
税金泥棒やろ
まだ工学部のチー牛のが良いもん作れるわ
201 :風吹けば名無し:2021/05/18(火) 23:40:14.23 ID:UkHfz+ina.net
>>22
まともにどころか
一回もやってないレベルや
226 :風吹けば名無し:2021/05/18(火) 23:41:10.33 ID:rl13ZTQe0.net
>>22
仕様通りだからテストで炙り出せないからセーフ
243 :風吹けば名無し:2021/05/18(火) 23:41:56.94 ID:+6ZiV2MT0.net
>>226
仕様決めたやつが悪いな
14 :風吹けば名無し:2021/05/18(火) 23:26:16.75 ID:4aWaF1bq0.net
立て直しは甘え
15 :風吹けば名無し:2021/05/18(火) 23:26:22.66 ID:PdUqLd9d0.net
日経新聞終わったな
16 :風吹けば名無し:2021/05/18(火) 23:26:23.22 ID:nIJJnjsw0.net
2chブログ用イメージ
31 :風吹けば名無し:2021/05/18(火) 23:28:27.25 ID:5tXYIkAz0.net
>>16
もっさん…
240 :風吹けば名無し:2021/05/18(火) 23:41:44.00 ID:wYEFo1LC0.net
>>16
大事にしないとこうなるやろ絶対
417 :風吹けば名無し:2021/05/18(火) 23:48:27.12 ID:QqWzn6oR0.net
>>16
流石もっさん
451 :風吹けば名無し:2021/05/18(火) 23:49:31.10 ID:7ASZH2XW0.net
>>16
中身おっさん
791 :風吹けば名無し:2021/05/18(火) 23:58:08.70 ID:6busx5RZr.net
>>16
JCでもそんな経験あるんやな
17 :風吹けば名無し:2021/05/18(火) 23:26:29.44 ID:PwwUoiGxa.net
じゃあ通報者に金払えよ
18 :風吹けば名無し:2021/05/18(火) 23:26:32.90 ID:xPBT88qH0.net
そらそうやろ
19 :風吹けば名無し:2021/05/18(火) 23:26:43.00 ID:Jj0TFXuOa.net
こういうのって報告したら金貰えるんか?
26 :風吹けば名無し:2021/05/18(火) 23:27:52.25 ID:bxlJIuse0.net
>>19
MSとかはVISAプリペイドカードとかくれるらしい
20 :風吹けば名無し:2021/05/18(火) 23:26:45.68 ID:l43ekg+1M.net
でも防衛省的には脆弱性じゃないんでしょ?
仕様通りなんだから
21 :風吹けば名無し:2021/05/18(火) 23:26:49.55 ID:6mcDf9Yg0.net
正論やで
第三者が言うならやけど
24 :風吹けば名無し:2021/05/18(火) 23:27:03.85 ID:/q9afQWua.net
脆弱性じゃねーしw
25 :風吹けば名無し:2021/05/18(火) 23:27:15.63 ID:QuzN9kdP0.net
報告した上で改善されなかったら公開していいルールだしな
たんに公開するのは流石によくないわ
33 :風吹けば名無し:2021/05/18(火) 23:28:30.70 ID:7pdCJ6Sda.net
>>25
ちゃんと防衛省に取材した上で記事にしてるぞ
そもそも内部告発だから政府は知った上で隠蔽して運用開始してる
199 :風吹けば名無し:2021/05/18(火) 23:40:04.88 ID:+6ZiV2MT0.net
>>33
内部告発かよw
27 :風吹けば名無し:2021/05/18(火) 23:27:54.51 ID:UomjRIiu0.net
こんなの当たり前の話
28 :風吹けば名無し:2021/05/18(火) 23:27:57.09 ID:BwOjS0H70.net
これまでの全セキュリティホールそうやろ
犯罪やで
47 :風吹けば名無し:2021/05/18(火) 23:30:11.89 ID:rYPM/xVV0.net
>>28
ベンダーがその脆弱性を認識しているのにもかかわらず改善しない場合は公開することもあるやろ
そして今回防衛省は認識していたのにもかかわらず改善していない
そもそもこれは脆弱性なのか?
29 :風吹けば名無し:2021/05/18(火) 23:28:18.27 ID:3Iu84bJUa.net
日経新聞への批判か?
30 :風吹けば名無し:2021/05/18(火) 23:28:18.55 ID:SvLZoT/Z0.net
ちなワイ底辺高卒が半年間勉強してFE受けた結果
午前59点
午後10点
受けるだけ無駄か?午後はほぼ無勉や
83 :風吹けば名無し:2021/05/18(火) 23:33:25.28 ID:q9t1wPdB0.net
>>30
それ勉強したんか?
187 :風吹けば名無し:2021/05/18(火) 23:39:27.28 ID:7P3Kd9pP0.net
>>30
過去問道場やるだけで受かる試験でおかしいだろ
228 :風吹けば名無し:2021/05/18(火) 23:41:11.25 ID:9Ve4mcCf0.net
>>30
勉強して午後10点は高校卒業を疑うレベル
297 :風吹けば名無し:2021/05/18(火) 23:44:01.53 ID:TPIUjLAQ0.net
>>30
脳みそある?
35 :風吹けば名無し:2021/05/18(火) 23:28:36.06 ID:7wXCa4PA0.net
善意に頼った"システム"だからな
脆弱性じゃない
36 :風吹けば名無し:2021/05/18(火) 23:28:37.12 ID:0ziuqg/i0.net
サンキューSPA
37 :風吹けば名無し:2021/05/18(火) 23:28:40.60 ID:1JWmP9aL0.net
これを脆弱性として扱うとか頭おかしいだろ
バリデーションチェックすらしてない論外のアプリケーションやん
38 :風吹けば名無し:2021/05/18(火) 23:28:57.93 ID:ip1TcsIUd.net
脆弱性ってレベルじゃないでしょこれ
39 :風吹けば名無し:2021/05/18(火) 23:29:01.81 ID:L9H3DL6q0.net
そらあいつら完全に攻撃者やからな
ワクチン接種をなんとか遅らせようと必死やし
71 :風吹けば名無し:2021/05/18(火) 23:32:31.76 ID:T9U2rjfKM.net
>>39
遅らせとくるのはこんなクソシステムを生み出してる側やろ
40 :風吹けば名無し:2021/05/18(火) 23:29:13.26 ID:uqj0w1h00.net
これはそうやろ
報告があったのを隠蔽するかどうは受け取った側が決めるが
41 :風吹けば名無し:2021/05/18(火) 23:29:29.67 ID:rl13ZTQe0.net
適当に予約できるのは脆弱性とは言わんわな
sqlインジェクションの事に限ってのコメントやとは思うけど
923 :風吹けば名無し:2021/05/19(水) 00:01:12.91 ID:cbE/qcka0.net
>>41
ゆうだろ
42 :風吹けば名無し:2021/05/18(火) 23:29:38.45 ID:7RSqvD2N0.net
システムの仕様であってセキュリティの脆弱性ではないんですが!!
51 :風吹けば名無し:2021/05/18(火) 23:30:33.72 ID:Ozszp300d.net
>>42
これ
69 :風吹けば名無し:2021/05/18(火) 23:32:08.75 ID:LHbPSuk40.net
>>42
じゃあ公開してええな
43 :風吹けば名無し:2021/05/18(火) 23:29:41.13 ID:qVxDGcDO0.net
仕様や
44 :風吹けば名無し:2021/05/18(火) 23:30:01.48 ID:xLeX172Q0.net
IPAさんもこんなくだらないことで脆弱性だのコメントさせられるとは思いもしなかったやろな
46 :風吹けば名無し:2021/05/18(火) 23:30:06.63 ID:gTnhLqYja.net
でも実際そのせいで対策打つ前にいたずら半分で偽の予約しまくる奴出とるんやから正論やない?
64 :風吹けば名無し:2021/05/18(火) 23:31:50.04 ID:sa4aueIGa.net
>>46
知ってたのに対策取らずに運用スタートしたんだよなぁ
73 :風吹けば名無し:2021/05/18(火) 23:32:34.85 ID:rxlZCVxB0.net
>>64
そらこの事態だもんよ
いたずらアクセスは普通に案件よ
48 :風吹けば名無し:2021/05/18(火) 23:30:16.00 ID:RuA〇5IlB0.net
防衛大臣が自分で言ってるけどシステムが脆弱なんじゃなくてそういうシステムの仕様だからそれがおかしいって言ってるだけだぞ
49 :風吹けば名無し:2021/05/18(火) 23:30:18.50 ID:LqQDOy/F0.net
脆弱性でもセキュリティホールでもなく
仕様がうん〇なだけ定期
50 :風吹けば名無し:2021/05/18(火) 23:30:22.46 ID:l+T6CbJNM.net
なんjはハッキング集団だった...?
53 :風吹けば名無し:2021/05/18(火) 23:30:52.50 ID:L9H3DL6q0.net
法的措置にビビって言い訳しとるやつワラワラで草
54 :風吹けば名無し:2021/05/18(火) 23:31:04.81 ID:ag+A/WSL0.net
防衛省「仕様通りなので脆弱性にはあたらない」
擁護してるネトサポ背中から撃ってて草なんだw
55 :風吹けば名無し:2021/05/18(火) 23:31:07.52 ID:PLmUYJSMa.net
こんな程度の低いものを脆弱性とか呼ばないでくれ
56 :風吹けば名無し:2021/05/18(火) 23:31:13.38 ID:3Ck6XhP4a.net
IPAって昔なんかやらかしてたよな
57 :風吹けば名無し:2021/05/18(火) 23:31:23.38 ID:pVNy2Z5ba.net
これは仕様なんだが反日か?
58 :風吹けば名無し:2021/05/18(火) 23:31:23.73 ID:OwHW5C4ap.net
家の鍵をピッキングする方法は晒したらあかんけど
これは「藁で作った家は脆いですよ」って言ってるだけやろ
脆弱性じゃなくて仕様らしいし
88 :風吹けば名無し:2021/05/18(火) 23:33:48.20 ID:N524XNC10.net
>>58
ワラで作った家なら不法侵入していいですよとはならん
61 :風吹けば名無し:2021/05/18(火) 23:31:39.57 ID:5EszIBjMd.net
手口(全部1で入れる)
62 :風吹けば名無し:2021/05/18(火) 23:31:47.90 ID:bWKmKp9Ca.net
あy
63 :風吹けば名無し:2021/05/18(火) 23:31:49.54 ID:1YgM8OPz0.net
IPAの見解としては正しい
でも内心システムの中身についてはドン引きやろ
65 :風吹けば名無し:2021/05/18(火) 23:31:52.88 ID:T9U2rjfKM.net
脆弱性も何も予約システムとしてまともに機能してるとすら言えないレベルなのに何をいってんねん笑
そもそも報告もクソも内部告発から分かったことやろ
66 :風吹けば名無し:2021/05/18(火) 23:32:01.07 ID:sKjcPDJ60.net
脆弱性のあるフォーム→カギが壊れてます、違うカギでも開きます
ワクチン予約フォーム→カギ付いてません、誰でも自由に入れます
67 :風吹けば名無し:2021/05/18(火) 23:32:02.85 ID:LqQDOy/F0.net
仕様通りだから直さないって言ったのは防衛省なんだよなあ
70 :風吹けば名無し:2021/05/18(火) 23:32:14.47 ID:3gRWU42Id.net
揉み消せないからやめろっていってるようにしか見えなかった
途中までしか読んでないけど
82 :風吹けば名無し:2021/05/18(火) 23:33:24.61 ID:1YgM8OPz0.net
>>70
別にIPAはこの件が出たからいきなりそういう主張をしたわけじゃなくてずっと前からこの姿勢なんや
たぶん技術者倫理の本とかにも同じこと書いてあるで
137 :風吹けば名無し:2021/05/18(火) 23:37:02.00 ID:3gRWU42Id.net
>>82
なるほど
まあ悪用できますよっていってるようなもんだし
まずは一般の目に触れさせず対策するのがいいってのも分かるやね
442 :風吹けば名無し:2021/05/18(火) 23:49:19.14 ID:X6ZthAQJ0.net
>>82
国防の倫理書には他国にハッキングされる恐れのあるシステムを作らないと書いてなかったんやな…
177 :風吹けば名無し:2021/05/18(火) 23:39:11.82 ID:z1V8w/M60.net
>>70
windowsとかだって同じやで
いきなりシステムの不備をついて悪さをすればクラッカー、
しかるべきところに報告して対処が終わった後に発表してもらうのがハッカー
クラッカーは犯罪者予備軍な、今回マスゴミがやったこと
72 :風吹けば名無し:2021/05/18(火) 23:32:33.25 ID:0RSCaqP0a.net
実際調べれば刑法に引っかかるって報道もあるし現状日本の中じゃ報道したことが悪なのは事実
75 :風吹けば名無し:2021/05/18(火) 23:32:51.04 ID:L9H3DL6q0.net
弁護士も偽計業務妨害の要件構成する言うてるのにお前ら言い訳止めろ
76 :風吹けば名無し:2021/05/18(火) 23:32:59.39 ID:AceC+O9Da.net
朝日も毎日もコメント求めて無視されてるんだよなぁ
77 :風吹けば名無し:2021/05/18(火) 23:33:02.50 ID:kLG1RhLXd.net
アンチ乙
これも仕様だから
80 :風吹けば名無し:2021/05/18(火) 23:33:10.81 ID:jC638oJK0.net
脆弱性うんぬん以前の問題やで
81 :風吹けば名無し:2021/05/18(火) 23:33:20.78 ID:z1V8w/M60.net
マスコミが一番腐敗してるからね
何やらかしてもほぼ犯罪にならない無法地帯
84 :風吹けば名無し:2021/05/18(火) 23:33:26.52 ID:SncarQIJ0.net
事実陳列罪かな?
276 :風吹けば名無し:2021/05/18(火) 23:43:15.90 ID:4/CEDif/0.net
ワイの基本情報の結果みてくれ
ちな選択はソフトウェア設計、プロジェクトマネジメント、表計算や
2chブログ用イメージ
2chブログ用イメージ
308 :風吹けば名無し:2021/05/18(火) 23:44:15.97 ID:pm4fqvLK0.net
ACCS不正アクセス事件
https://scan.netsecurity.ne.jp/article/2004/05/19/12726.html
2003年11月、セキュリティ研究者が集まるイベントにて
社団法人コンピュータソフトウエア著作権協会(ACCS)の公式サイトに
脆弱性が存在することを「実演」して示した研究者が逮捕された事件
399 :風吹けば名無し:2021/05/18(火) 23:47:33.33 ID:ZGFB9Hx00.net
このくらいのセキュリティだっただけや
【元スレ】http://tomcat.2ch.sc/test/read.cgi/livejupiter/1621347851/


まるの制作部(動画、プログラム、絵、ブログ運営)

farewell

カテゴリ

このブログを検索

自己紹介

自分の写真
作らなきゃ(使命感)

QooQ