こんにちは。
防衛省のワクチン予約システムに大規模な欠陥があったと話題になっています。
対象ではない方が予約してもできてしまうシステムのようで、防衛省は「善意に頼ったシンプルな予約システム。いたずらで予約されては必要な人の予約が取れない」と述べています。
Twitterでは「SQLインジェクション」が可能だという噂も。
そこで今回は、ワクチン予約システムに見られている不具合や欠陥、障害などの情報を総まとめにしていきたいと思います!
・ワクチン予約システムの不具合や欠陥・障害情報!
・SQLインジェクションが可能?
ワクチン予約システムの欠陥不具合情報まとめ!SQLインジェクション可能でやばい?【障害】
この障害に関して、防衛大臣は取材目的で架空情報を使って予約した朝日新聞出版と毎日新聞に対して「悪質な行為であり、極めて遺憾だ。厳重に抗議する」と述べています。
現在見られている障害情報をまとめます。
SQLインジェクションが可能な状態か?
まず、SQLインジェクションは
参考:ウィキペディア
SQL文とはデータベースを操作する言語のことです。
つまり、もし誰もが使うであろうワクチン予約システムに不備があるとしたら、このシステムを不正に操作することが可能になってしまいます。
どんな不具合があるのか具体的に見ていくと、以下の不具合があります。
ワクチン予約システムの不具合や欠陥、危険性など
・デタラメな生年月日でも予約できる
・65歳未満でも予約可能
・まだ生まれていない(未来の誕生日)人の予約もできる
・存在しない日(2月31日など)でも予約できる
・cookieを消すとマイページに入れない
・同じ番号を入れて予約すると、先に予約していた方がキャンセルされる
・架空の予約番号での予約が可能
・市町村番号も適当でOK
・接種期間外も予約可能
・キャッシュを消すとマイページが2度と見られない
・tor接続できる?(torとは、IPアドレスを複数経由しIPアドレスの匿名性を高める規格)
現在報告されているのは以上の不具合です。
もしこのシステムで本当にSQLインジェクションが可能なのであれば、どんな攻撃を受けるか分からないので危険だという声もあります。
ただ一方で、もしSQLインジェクションが可能であれば、これは試せば犯罪になるのでSQLインジェクションが可能だと言い出したソースは信頼性が低いのではないか?という声も上がっています。
今盛り上がってる話題をSQLインジェクションできるシステム作るなってそもそも論に帰結させる奴は下っ端なんだろうなと思いつつ、やっぱそこは塞げよとも思う
— 氷炎魔団のとりちほ (@kulage3) May 18, 2021
SQLインジェクションを仕掛けるとか犯罪だぞ。大丈夫じゃないぞ。ホワイトハッカー気取りかい?
— ピコピコくん🇳🇿プログラマー (@piko_piko_kun) May 18, 2021
世間の声
クローズドの環境だとSQLインジェクションの脆弱性があっても放置することは稀に良くあるので、そういうリソースを流用してオープン環境にうつすとやらかしがちかもしれんが、ほんとか?
— りふ (@rifu359) May 18, 2021
・どんな接種番号でも入力できる ← しゃーない
・市町村コードもなんでもOK ← それくらい頑張れ
・65歳未満でも予約できる ← 🤔
・-1歳でも予約できる ← 🤔🤔🤔
・2月31日生まれに設定できる ← 🤔🤔🤔🤔
・SQLインジェクションできる可能性 ← 🔥🔥🔥🔥🔥— emadus (@emadus_FTI) May 18, 2021
SQLインジェクションできそうか試してみる→グレーゾーン
SQLインジェクションでデータを破壊、情報流出させる→アウト鍵がかかっているか確認するのはセーフだけど(マナーはよろしくないし、訴えられる危険性もあるからおすすめしない)、鍵があいてたからといって泥棒したらアウトだよ!
— 西村洋一郎@learningBOX開発中/100人利用で年間3万円~ (@ynishi2015) May 18, 2021
SQLインジェクションとか普通起きないように色々やるやろwwwwwって思ってたがお前まじか?お前マジか?????
— セェイ!?🐺🐿🍄 (@sei26214) May 18, 2021
防衛省のシステムは突合するための住民DBを持っていないから、架空予約が可能なのは、想像の範囲だけど、SQLインジェクション(データベースシステムを不正に操作する攻撃)可能っていうのがホントなら、相当ヤバくないですか? 既予約者の個人情報も。。。 https://t.co/RFX8jSyMcG
— 肉球新党「猫の生活が第一」 (@cat_pad299) May 18, 2021
SQLインジェクションなるワードがトレンド入りしてるが まさか防衛省のワクチン予約システムにそんな脆弱性があるとは‥‥しかも『ネット民のおもちゃ』とさえ書かれてるぐらい重態。大急ぎで予約した東京23区&大阪市の該当者にしてみたら、何時 詐欺の流れ弾が当たるかも知れない驚異に曝されるのだ
— ご隠居ひでさん (@aiUAZwyymezcY5d) May 18, 2021
SQLインジェクションの対策って、DB関係の実装で真っ先に教わることでは……?こわ………
— ゆきみ (@sn92_rbt) May 18, 2021
海老原優香アナのステマ疑惑の美容室はどこで店名は?場所やインスタ投稿内容などは?
【動画】GACKTの17LIVE(イチナナライブ)”風邪です”発言の動画は?マルタにいるのはなぜ?【5月14日】
