自衛隊東京ワクチン接種Web予約システムの不具合に対する政府・自民党の逆ギレにシステム専門家が思うこと
【独自】「誰でも何度でも予約可能」ワクチン大規模接種東京センターの予約システムに重大欠陥〈dot.〉(AERA dot.)
どこに出しても恥ずかしいシステムを棚に上げて政府・自民党が逆ギレ状態
東京の「ワクチン接種システム」の不具合について、政府と自民党はまさに「逆ギレ」状態です。
自衛隊大規模接種センター予約の報道について。
— 岸信夫 (@KishiNobuo) May 17, 2021
今回、朝日新聞出版AERAドット及び毎日新聞の記者が不正な手段により予約を実施した行為は、本来のワクチン接種を希望する65歳以上の方の接種機会を奪い、貴重なワクチンそのものが無駄になりかねない極めて悪質な行為です。
朝日、毎日は極めて悪質な妨害愉快犯と言える。
— 安倍晋三 (@AbeShinzo) May 18, 2021
防衛省の抗議に両社がどう答えるか注目。 https://t.co/Q0ofuKioNQ
問題となっている予約サイト
自衛隊東京ワクチン接種Web予約システム
https://www.mod.go.jp/j/approach/defense/saigai/2020/covid/center.html
非を認めないのはもちろん以下のように言い逃れ・責任転嫁しようとしているようです。
・個人情報保護の観点で接種番号と照合しないようにした。入力する人の善意に頼ったシンプルなシステム。=>不具合でなく仕様と主張したい
・毎日と朝日の架空予約により枠が埋まり接種を受けたい人が受けられなくなる恐れがあった。
この主張は、私のように情報システムの専門家からすると「詭弁」以外の何物でもないのですが、一般の人にはもっともらしく聞こえる部分もあるようです。
プロフェッショナルの一人としてコメント(否定)しておきます。
「入力する人の善意に頼ったシンプルなシステム」という設計はありえない
システム設計において「善意に基づく、基づかない」という基準は存在しません。理由は2つです。
理由1.自動化された悪意あるプログラムの存在
理由2.人間は間違える
理由1.自動化された悪意あるプログラムの存在
一般に公開されているサービス(実体はコンピュータ)は、公開した瞬間から世界中からの悪意ある攻撃にさらされます。
この攻撃は自動化されているので、24時間365日絶える事がありません。
誇張はありません。本当に世界中から24時間365日攻撃されてます。
例外もありません。著名なサイトだけでなく、無名企業のホームページも個人のブログサイトも攻撃を受けてます。
この攻撃の中には、自動で情報を入力するものがあります。さらに不正データベースアクセスのためにSQLというプログラミング言語を投入してくるものも有ります。
前者の攻撃が成功すれば、予約枠があっという間に埋まってしまいます。
後者の攻撃(SQLインジェクション)が成功すれば、全てのデータが漏洩します。名前とか住所とか。
有志によると今回のプログラムはどちらに対しても無防備だったという指摘もあります。(当方は未確認)
無数の泥棒が注目している家の鍵を締めずに、個人情報というお宝をテーブルの上に放置しているようなものです。
理由2.人間は間違える
人間は間違えます。
わたしの経験では、メールが届かない、ログインできないという問合せのほぼ100%が利用者の過失(勘違い、手続きミス(受信許可とか)、入力間違い)です。
安定稼働後の不具合の報告もほとんどが利用者の勘違いです。(これはユーザインタフェースが悪いという面もあります)
このため、システム設計では「人間は間違える」ことを前提にします。(例外的に自分だけが使うようなシステムでは適当〜入力チェックしない〜に設計することもあります)
今回のシステムは、2つの番号(市町村番号6桁、接種券番号12桁)と生年月日を入力します。(画像はワクチン接種サイトより)
結構な率で入力を間違えるはずです。
ところが、なんでもかんでも予約成功してしまいます。さらに重複した番号があると後から予約したほうに上書きされてしまうそうです。
どうなるでしょうか?
予約したつもりで接種券を持って会場に向かっても本来の番号と一致する予約はないので接種できないでしょう。
そして、間違った予約で枠が埋まってしまうでしょう。
---
以上です。
防衛省、政府、自民党の主張は詭弁です。「入力する人の善意に頼ったシンプルなシステム」という設計はありえないことがご理解いただけたでしょうか?
あの竹中平蔵氏が顧問をする会社に随意契約で発注されて、税金を使って開発されて、納品された重要な国家レベルの情報システムが「どこに出しても恥ずかしい」システムであることがわかっていただければと思います。
不具合の発見は感謝されるべきもの、セキュリティであれば謝礼が払われるのがIT業界標準
【独自】「誰でも何度でも予約可能」ワクチン大規模接種東京センターの予約システムに重大欠陥〈dot.〉(AERA dot.)
内部告発の裏を取って報道した朝日(AERA)、毎日の動きがなく放置されていたら致命的な大問題になっていたことが確実です。
情報システム業界では不具合を見つけてくれたら「ありがとう」というのが常識です。特にセキュリティ系の不具合であれば「謝礼」がでることも珍しくありません。(AppleやGoogleなら100万円単位)
【参考】グーグルのバグ報奨金プログラム、2020年の支払額は過去最高の670万ドル - ZDNet Japan
【推測】既に個人情報漏えいしている可能性は?
上述したように、自衛隊や政府・自民党は、毎日や朝日(AERA)に感謝すべきところです。何を逆ギレしているのか。
ここは、わたしの憶測ですが、もしかしたら既に接種申し込み者の個人情報が漏洩しているのかもしれません。
既に政府には身代金の要求があるかもしれません。
それで必死で「朝日と毎日が報道しなければこうならなかった」と問題をすり替えようとしているのかもしれません。
数日したら闇サイトで接種サイトを利用した人の個人情報が公開されるかもしれません。
政府の過失が拡大することを望んでいるわけではありません。そういうことがあってもまったく不思議でないお粗末なシステムだということです。
以上
この記事が気に入ったらサポートをしてみませんか?