ワクチン予約システムの欠陥不具合情報まとめ!SQLインジェクション可能?【障害】




 

こんにちは。

 

防衛省のワクチン予約システムに大規模な欠陥があったと話題になっています。

 

対象ではない方が予約してもできてしまうシステムのようで、防衛省は「善意に頼ったシンプルな予約システム。いたずらで予約されては必要な人の予約が取れない」と述べています。

Twitterでは「SQLインジェクション」が可能だという噂も。

 

そこで今回は、ワクチン予約システムに見られている不具合や欠陥、障害などの情報を総まとめにしていきたいと思います!

Point!

・ワクチン予約システムの不具合や欠陥・障害情報!

・SQLインジェクションが可能?

 




ワクチン予約システムの欠陥不具合情報まとめ!SQLインジェクション可能でやばい?【障害】

 

この障害に関して、防衛大臣は取材目的で架空情報を使って予約した朝日新聞出版と毎日新聞に対して「悪質な行為であり、極めて遺憾だ。厳重に抗議する」と述べています。

 

現在見られている障害情報をまとめます。

 

SQLインジェクションが可能な状態か?

 

まず、SQLインジェクション

「アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法のこと」です。

参考:ウィキペディア

 

SQL文とはデータベースを操作する言語のことです。

 

つまり、もし誰もが使うであろうワクチン予約システムに不備があるとしたら、このシステムを不正に操作することが可能になってしまいます。

 

どんな不具合があるのか具体的に見ていくと、以下の不具合があります。

 

ワクチン予約システムの不具合や欠陥、危険性など

 

・デタラメな生年月日でも予約できる

・65歳未満でも予約可能

・まだ生まれていない(未来の誕生日)人の予約もできる

・存在しない日(2月31日など)でも予約できる

・cookieを消すとマイページに入れない

・同じ番号を入れて予約すると、先に予約していた方がキャンセルされる

・架空の予約番号での予約が可能

・市町村番号も適当でOK

・接種期間外も予約可能

・キャッシュを消すとマイページが2度と見られない

・tor接続できる?(torとは、IPアドレスを複数経由しIPアドレスの匿名性を高める規格)

 

現在報告されているのは以上の不具合です。

 

もしこのシステムで本当にSQLインジェクションが可能なのであれば、どんな攻撃を受けるか分からないので危険だという声もあります。

ただ一方で、もしSQLインジェクションが可能であれば、これは試せば犯罪になるのでSQLインジェクションが可能だと言い出したソースは信頼性が低いのではないか?という声も上がっています。

 

 




世間の声

 

 

 

海老原優香アナのステマ疑惑の美容室はどこで店名は?場所やインスタ投稿内容などは?

【動画】GACKTの17LIVE(イチナナライブ)”風邪です”発言の動画は?マルタにいるのはなぜ?【5月14日】

テキストのコピーはできません。
タイトルとURLをコピーしました