【防衛省】ワクチン予約システムにSQLインジェクションの欠陥?

時事

こんにちは。坊主です。

2021年5月17日から開始された「ワクチン予約センター」の予約システムですが、”重大な欠陥”が発覚し世間の注目を集めています。

予約システムには”複数”の欠陥があるとされ、場合によっては個人情報の流出などの被害が懸念されています。

一体、ワクチンの予約システムにはどんな欠陥が発生したのでしょうか?

防衛相:ワクチン予約システムに欠陥(不具合)が判明

防衛相のHPに掲載されているワクチン予約システムの欠陥(不具合)について、「AERA dot.」は次のように報じています。

予約が始まった直後、

「ワクチン予約に大変な欠陥が見つかった。
システムのセキュリティが機能していない」
(防衛省関係者)

という情報が飛び込んできた。

AERAdot.編集部で東京の予約サイトで試してみると、
6桁の市区町村コードには「654321」、
10桁の接種券番号には「9876543210」と適当に番号を入力。

生年月日も「1956年1月1日」と適当に入力したところ、
そのまま進めて、5月29日8時から予約が取れてしまった。

念のため、もう一度、予約をしてみた。

市区町村コードは「555555」、
接種券番号は「4444444444」、
生年月日は「1954年1月1日」にした。

こちらも5月30日16時30分からの枠を予約できた。

6桁、10桁未満だとエラーが出たが、
それを満たせば予約が取れるというセキュリティ上の“欠陥”があるのだ。

(2021年5月17日配信)

上記の通り、問題の予約センターでは入力する数字の”桁数”さえ合っていれば、適当な数字を入力してもワクチンの予約が取れてしまうのです。

また、5ch(2ch)に寄せられた情報によると、予約番号が重複した際は、先に入力した番号がキャンセルになるようです。

適当な番号を入力してもワクチンの予約が取れてしまうようでは、このシステムは全く機能していないと言えます。

しかし、”別の欠陥”(不具合)ではこれ以上に重大な懸念が生じているのです。

世間の反応

なんかあると思ったらありましたね。

日本はIT関係は脆弱なんだな。

自衛隊が絡んだ接種センターなのに
日本の防衛は大丈夫なんでしょうか。

突貫工事でシステムを作ったからでしょ。 

菅がプレッシャーをかけるから、
付け焼刃的にシステムを構築したが、逆にあだになった。 

逆に混乱してしまったね。 

それとシステム制作会社には多額の税金が支払わているから 
こちらも税金の無駄使い。 

使い物にならないシステムを作った会社には金を払ってはだめでしょ。

>「マーソ株式会社」と記されていた。
>同社の経営顧問には菅首相の盟友、竹中平蔵氏が名を連ねていた。
 
やっぱりですね。
 
マスクも欠陥多発商品、
COCOAも欠陥ソフト、
この予約システムも欠陥だらけ。

しかも、発注先は、安倍前首相や菅首相と関連していた。
 
どうしようもないですね。

SQLインジェクションの可能性も

予約システムの欠陥(不具合)が発覚した予約サイトですが、これ以外にも「SQLインジェクション」の可能性が指摘されています。

一般的には聞き慣れない「SQLインジェクション」とは何なのでしょうか?

簡単に説明すると、「SQL」とは、データベース(Webサイト)を操作することが出来る”言語”を意味します。

Webサイトはこの言語の命令に従って挙動していますが、この言語に”不正な命令”を追加(上書き)することをSQLインジェクションと言います。

そのため、「SQLインジェクション」が可能なWebサイトは第三者によって不正にアクセスすることが可能であり、サイト自体を改竄することも出来るのです。

SQLインジェクションを簡単に説明した画像がこちらです。

上記の通り、SQLインジェクションを行えば、個人情報を抜き取ることも容易なのです。

防衛省のワクチン予約システムに対してSQLインジェクションが可能であれば、入力した個人情報が根こそぎ奪われてしまう危険性があります。

しかし、現在のところ、防衛省が第三者による不正アクセスについて言及した事実はありません。

そのため、SQLインジェクションの可否や個人情報の流出なども不明となっています。