立憲･枝野幸男「日本は犯罪者への感謝が足りない｡犯罪手口を気付かせてくれた感謝の気持ちを持て」

IPA(情報処理推進機構)「…何言ってるんだこいつ」
────────────────────

枝野氏「防衛省は意味不明」
朝日と毎日に抗議を批判

2021/5/18 22:08
共同通信社

　立憲民主党の枝野幸男代表は18日の党会合で、自衛隊運営の新型コロナウイルスワクチンの大規模接種センターを巡るシステム不備で、朝日新聞出版と毎日新聞に抗議した防衛省を批判した。「システムの欠陥を指摘したメディアに『早い段階で気付かせてくれてありがとう』と言うのが本来の姿だ。意味不明な対応をしている」と述べた。

　2社は取材目的で架空情報を使って接種予約。システム不備が判明したが、防衛省は2社に抗議文を郵送した。（以下略）

https://this.kiji.is/767372173384253440?c=39546741839462401
────────────────────

脆弱性を突く手口、IPA「見つけたらまず開発者やIPA窓口に報告して」　ワクチン予約システムの欠陥巡り

2021/5/18 22:08

　大規模会場を使った新型コロナワクチンの接種予約システムの欠陥について、IPA（情報処理推進機構）は5月18日、取材に対し「脆弱性や手口を不特定多数に公開するのは望ましくない」とコメントした。脆弱性を発見した際は「まず開発者やIPAの窓口に報告してほしい」という。

　脆弱性情報は、開発者が脆弱性を直すために必要な情報である一方で、攻撃に悪用される恐れがある情報でもある。このためIPAは「発見時は開発者に報告し、極秘事項にすること」とし、「報告せずに、脆弱性の存在をネット上にいきなり公開することは絶対に行ってはいけない」としている。また、攻撃者と疑われる可能性があることから「善意であっても必要以上に調査しないこと」ともしている。

　IPAでは脆弱性を報告する専用窓口を設置し、情報提供を求めている。

　予約システムの欠陥を巡っては、AERA dot.の記者が17日に公開した記事の中で、でたらめな番号を予約システムのフォームに入力しても予約が取れてしまうことを、実際のシステムで確かめたと記載。記事に具体的な手口があったことから「架空予約を誘導している」と報道に疑問を呈する声も上がった。

　この他、データベースを不正に操作する攻撃手法である「SQLインジェクション」が予約システムに対して可能という情報も流れたことから、脆弱性など欠陥を第三者が見つけた際の取り扱いについてネット上で議論が起きていた。

https://www.itmedia.co.jp/news/spv/2105/18/news145.html