ページ内ジャンプ:
スラッシュドット・ジャパン 全文検索

アレゲなニュースと雑談サイト

厚生労働省、電子申請システムの脆弱性を半年見過ごし

kazekiriによる 2007年07月05日 23時07分の掲載
いろいろでてくるな部門より。
バグ セキュリティ 日本

tmp.tar.gz 曰く、

NHKニュース読売新聞で報道されているが、厚生労働省の電子申請・届け出システムにおいて、システム利用に必要となるソフトウェアに外部からシステムが制御されてしまうような 脆弱性が今年1月(読売報道では昨年12月)に発見されていたにも関わらず半年も放置され、全く何の対策も取られていなかったことが明らかになったらしい。NHK報道によれば、この期間のシステム利用件数は4万2000件ということである。双方ともに詳細がよく分からないし、該当のサイトにも何のアナウンスも見つけられないが、おそらく問題になっているのはJRE(Java Runtime Environment)の脆弱性のことだろう。

この議論は賞味期限が過ぎたので、保存されている。 新たにコメントを書くことはできない。
厚生労働省、電子申請システムの脆弱性を半年見過ごし | ログイン/アカウントの作成 | 106 個のコメント | コメント検索
表示オプション しきい値:

  • セキュア・ジャパン (スコア:5, おもしろおかしい)

    Anonymous Coward : 2007年07月06日 0時50分 (#1185289)
    はなくそほじほじ
    『内閣官房情報セキュリティ センター』
    http://www.nisc.go.jp/conference/seisaku/ [nisc.go.jp]「セキュア・ジャパン2007」より
    1)2008年度までに政府機関統一基準のレベルを世界最高のものとし
    2)2009年度初めにはすべての政府機関において政府機関統一基準が求める水準の対策を実施していることを目指し

    • Re:セキュア・ジャパン (スコア:3, おもしろおかしい)

      Anonymous Coward : 2007年07月06日 1時39分 (#1185314)
      ヒント:目指すだけ

      • Re:セキュア・ジャパン (スコア:2, おもしろおかしい)

        Tatenon (20311) : 2007年07月06日 12時33分 (#1185486) 日記
        2010年の国会答弁。

        「えぇ。目指しましたよ。」
        「達成できたんですか?」
        「目指しましたけどね。」
        「達成できてないんですね?」
        「目指しはしたんだから、『目指す』というのは達成しましたよ。」

        # ・・・ソースがついたらどうしよう。orz
      • Re:セキュア・ジャパン by quabbin (スコア:1) 2007年07月06日 1時58分

        • Re:セキュア・ジャパン (スコア:2, 興味深い)

          Namany (19002) : 2007年07月06日 11時33分 (#1185448) 日記
          他店の値段持って行ったら、他店の価格の1円引きの価格を提示された時には呆れたなぁ。

          #他店と比較して明らかに流行ってなさそうなのに、なんで潰れないんだろ?

        • Re:セキュア・ジャパン (スコア:2, 参考になる)

          slash..jp (31800) : 2007年07月06日 13時00分 (#1185508)
          かなり前の話だけど、他店の値段持って行ったら
          「ほげほげカメラさんの値段なんか出せるわけないです」と
          そっぽ向いて言われたぜ。

          # 他店10万円(特売に非ず)、この店12万円くらいだった。

          あまりに腹が立ってそれ以来行ってない。

          >#他店と比較して明らかに流行ってなさそうなのに、なんで潰れないんだろ?

          同感同感。ホントそう思うよ。
        • 1個のコメント が現在のしきい値以下です。

    • Re:セキュア・ジャパン (スコア:3, おもしろおかしい)

      Anonymous Coward : 2007年07月06日 10時48分 (#1185424)
      省庁毎に非互換なシステムを導入する事により、脆弱性が見つかった場合でも全システムに影響を及ぼさないようにすると言うセキュアなシステムだったんだ。
      深謀遠慮、恐れ入りました。

  • 今回の報道の真実 (スコア:5, おもしろおかしい)

    Anonymous Coward : 2007年07月06日 1時27分 (#1185307)
    今回の報道は、先日のNHKによる政府調達からMS-Officeを排除するという報道に対しての
    マイクロソフトへのお詫びを兼ねた放送だと思われます。

    その証拠に、NHKのニュースキャスターは、
    JREをアップデートしろとは言わず、
    「そのようなソフトは削除してください」と全国民に対して呼びかけていました。

    理化学研究所の研究員のコメントに対しても神業的な編集をして、
    「JREが勝手に銀行口座から振込みをする」という意味になっていました。

    つまり、NHKからメッセージは「SunのJavaはウイルスだから今すぐ削除しなさい」
    NHKの本音は、「MSよ、正面きって謝まることはできん。でも、借りは返したぞ」

  • リビジョン限定 (スコア:3, 興味深い)

    i_i (22332) : 2007年07月05日 23時34分 (#1185234)
    なんでこの手(官公庁・電子証明書がらみ)のJavaアプレットは、特定リビジョン番号を決め打ちする仕様が多いんでしょう?
    マイナーバージョン指定ならともかく。

    • Re:リビジョン限定 (スコア:4, 興味深い)

      beans-beans (28638) : 2007年07月05日 23時43分 (#1185237)
      よく分からない人がよく分からない仕様を出して
      よく分かってない人が決済するからです。

      で、請け負ったほうは請け負ったほうで当然メンテナンスが
      楽な仕様を出してみて(ここで、上で出てくる仕様ってなんだと
      思うのですが、そこまで投げてるのが実情でしょうし)、
      請け負ったほうとしては後で何か言われないようにするの(過剰なきめうち)と、
      少しの変更で随意契約とってきて小銭を稼ぐという
      仕組みが出来上がってるからです。

      こういうのって誰が悪いんでしょうね。
      よく分からないくせにやろうと言い出す人か、
      それをよく分からず決済しちゃう人か、
      よく分かってないのをいいことにその人たちを手玉に取る人か。

      みんな少しずつ悪いのかな。

      • Re:リビジョン限定 (スコア:4, 興味深い)

        Anonymous Coward : 2007年07月06日 0時35分 (#1185282)
        以前、ある役所でwebシステム作成を外注したときに、
        そんな感じの仕様を提案してきたベンダがいました。

        そうする必然性はまったくなかったので直そうとしたところ、
        なぜかこっちの上司から、
        「素人がでしゃばらずにプロの彼らにまかせとけ」とのありがたい「助言」がありましたとさ。

        • Re:リビジョン限定 (スコア:3, すばらしい洞察)

          Anonymous Coward : 2007年07月06日 8時31分 (#1185369)
          そこは発注者側が直すんじゃなくて、ベンダーに弁明させて、それで不都合があるなら追及すればいい話。
          素人が直そうとしたのであれば、上司は正しく助言したと思う。

        • Re:リビジョン限定 (スコア:2, すばらしい洞察)

          xan (25964) : 2007年07月07日 7時37分 (#1185857) 日記
          >あとで「何か」あっても「彼ら」のせいにできるので役人としては良い判断でしょ。

          役人だったら、“彼ら”のせいにできるんですか…

          アウトプットに対して責任を負う必要がないから可能なんですかね。民間企業ならあり得ないでしょう。普通は、導入責任者に処分が下りますよね。まぁ、導入“担当”者なら責任転嫁できても、責任者(大抵はその上司)はそんな言い訳は許されない。

          役人だからって、責任者がいない訳ないと思うんですが。
        • 3個のコメント が現在のしきい値以下です。

      • お国や地方自治体のシステムを開発するのは薄氷を踏む思い (スコア:4, すばらしい洞察)

        Anonymous Coward : 2007年07月06日 0時53分 (#1185291)
        > 後で何か言われないようにするの(過剰なきめうち)と

        ほら。
        問題が起こらないように決めてるのに文句言うしね。
        決めずに問題が起こると、それはそれでまた文句言うでしょ?

        公務員は古典力学的神様じゃないんだから、あらゆる事象を把握するのなんて不可能ですよ。
        そりゃーもちろん最善に向けて努力はしてるはずですけどね。
        深夜に霞ヶ関行ってみそ。働いているひといっぱいだよ。

        > こういうのって誰が悪いんでしょうね。

        問題があることを知っているのに発言しないあなたや俺たちかな。

        パブリックコメント募集があれば積極的に応募する。

        政府広報や報道発表があれば目を通す。

        入札の公示があれば注進する。

        意見が通ればそれでよし、通らなければ通らないで予見できた問題を無視したってことで叩けるしね。

        誰の国でもない自分達の国なんだから、もっと積極的に発言していこうよ。

      • Re:リビジョン限定 (スコア:3, 興味深い)

        Anonymous Coward : 2007年07月06日 0時17分 (#1185268)
        何が悪いと言えば、「単年度予算」でしょう。

        一般企業であれば、減価償却期間のトータル費用で考えることも出来ますが、政府・自治体にはそれが出来ません。
        かといって、「単年度予算」を廃止すればよいのかと言えば、今度は議会との関係で問題が出ます。

        民主主義の原則を守って高いコストを払うか、それとも原則を破ってでも効率性を求めるかのどちらかになります。

      • Re:リビジョン限定 (スコア:3, すばらしい洞察)

        Takahiro_Chou (21972) : 2007年07月06日 7時03分 (#1185353) ホームページ 日記
        よく分からない人がよく分からない仕様を出して
        よく分かってない人が決済するからです。

        その件に関する報道も、よく分かってない人が、よく分かってない取材をして、
        よく分かってない人が、よく分かってない編集をして…(中略)…
        よく分かってない視聴者が、よく分かってないまま、変な解釈をすると。

      • 悪いのは… by kuni92 (スコア:1) 2007年07月06日 0時01分
      • 2個のコメント が現在のしきい値以下です。

    • バケツを買う仕組みしかないからです (スコア:2, 参考になる)

      NOBAX (21937) : 2007年07月06日 5時34分 (#1185341)
      官公庁の発注の仕組みはバケツのような仕様の決まったものを調達する仕組みしかないのです。
      作ったことのないものやいくつも実現手段があるものを調達する仕組みはありません。
      そこでいいものを作ろうとすると、業者と癒着しているといわれたり、談合だと指弾されるわけです。
      安全にやろうとするとロクなモノを買うことが出来ないのです。
    • Re:リビジョン限定 by Oshoo! (スコア:1) 2007年07月06日 0時45分
    • Re:リビジョン限定 by The Inelegance (スコア:1) 2007年07月06日 8時47分
    • Re:リビジョン限定 by Anonymous Coward (スコア:1) 2007年07月06日 0時54分
    • 4個のコメント が現在のしきい値以下です。

  • それもそうだけど (スコア:2, 興味深い)

    Anonymous Coward : 2007年07月05日 23時52分 (#1185243)
    7&iのnanaco事前登録サイトのXSSはいつになったら直るんだろう。

  • 役場のweb検索システムでNAMAZUのXSSバグが放置されすぎ (スコア:2, 参考になる)

    Anonymous Coward : 2007年07月06日 9時06分 (#1185386)
    この全文検索システムは Namazu によって構築されています。+city [google.co.jp]で検索するとゾロゾロでてきますよ。 #関係者なんでAC

  • オオカミ中年 (スコア:1, おもしろおかしい)

    Anonymous Coward : 2007年07月06日 0時00分 (#1185254)
    たかぎひろみつのコメントまだー!?!?

  • 対策 (スコア:1, 興味深い)

    Anonymous Coward : 2007年07月06日 0時07分 (#1185260)
    対策はこれ。 [takagi-hiromitsu.jp]

  • つい昨日も (スコア:1)

    petit.torrija (31677) : 2007年07月06日 8時54分 (#1185380)
    社内の人間から
    「電子入札しなくちゃならなくなったから
     JRE-.1.3.1(だったかな)入れないといけないんだけど」
    という問い合わせがあって、古いJREが使われている実情を実感したりしました。

  • リンク切れ補正 (スコア:1, 参考になる)

    Anonymous Coward : 2007年07月06日 11時01分 (#1185427)
    タレコミ文の「NHKニュース」がもうリンク切れ。

    今はここで見られるみたい。
    http://www3.nhk.or.jp/news/2007/07/06/k20070705000157.html [nhk.or.jp]

    URLを比べると違いは日にち部分だけのようですね。
    http://www.nhk.or.jp/news/2007/07/05/d20070705000157.html [nhk.or.jp]
    http://www.nhk.or.jp/news/2007/07/06/k20070705000157.html [nhk.or.jp]
  • で,どこぞのボケ省庁が診療報酬のオンライン請求を1年前倒しでやろう [cao.go.jp]って話につながるのかな。

    >(2)IT化の推進による医療事務の効率化と医療の標準化・質の向上
    >
    > *
    >
    > レセプトのオンライン請求を中心とする電子的請求の原則化(紙中心のレセプトを原則電子的請求へ)

  • Re:問題はアップデートの不連続性じゃないかな (スコア:1, すばらしい洞察)

    Anonymous Coward : 2007年07月06日 6時38分 (#1185346)
    >メジャーアップデート時

    マイナーアップデート時の間違いでしょうか?

  • 脆弱性と欠陥の違い (スコア:2, 参考になる)

    Anonymous Coward : 2007年07月06日 11時22分 (#1185442)
    脆弱性と欠陥は違いますね。

    欠陥は設計・仕様通りに動かないもの。
    脆弱性は、設計・仕様通りであったとしても、何かしら問題があって
    動作不能やセキュリティ侵害がおきるものも含まれる。
    もちろん、欠陥によるものも含まれる。

    例えば、AppleのQuickTimeの深刻な脆弱性では、Appleは
    欠陥ではなく設計通りに実現した正当な機能として
    長期間修正を拒んでいました。
    実際の被害者が大量に出ていても。

    また、Appleが製造時にiPodにWindows用マルウェアを仕込んで
    販売し、実際の被害が出た場合も、それはWindowsの欠陥ではなく
    そういうやり方で感染させられる脆弱性を指摘していましたね。
    ついでにいえば、iPodにマルウェアが混入したことに関しては、
    iPodやMacで動作するものではないので、iPodの脆弱性ではない
    という考えでもあるらしい。

    JREの件はよくわかりませんけど、JREの欠陥によって、それを使った
    ソフトや環境が脆弱性を持つことはJREの脆弱性ではないという
    話ならば、Appleの言い方と似ていますね。

  • 電子申請のソフト欠陥、厚労省が7日午前9時までメンテ [yomiuri.co.jp]

    厚生労働省は6日、システムを一時停止し、メンテナンスを行うと発表した。

    メンテナンスは7日午前0時から同9時までで、それ以降は、安全性の確認されたソフトが利用できるようになるという。

    ということで、厚労省の電子申請・届出システム [mhlw.go.jp] は改修された、のか?

    欠陥ソフト 省庁の実態調査へ [nhk.or.jp]
    この問題を受けて、省庁のセキュリティー対策に取り組む内閣官房情報セキュリティセンターは、ほかの省庁でも欠陥のあるソフトを提供しているおそれがあるとして、すべての省庁のソフトの利用の実態を調べ、対策が十分かどうかを確認するということです。
    ということで、同様の問題がぼろぼろ出てくる、ことになるのか?
    --
    # AC だけど ID
  • 5個のコメント が現在のしきい値以下です。

このページのすべての商標と著作権はそれぞれの所有者が有します。 コメントやユーザ日記に関しては投稿者が有します。
のこりのものは、© 2001-2010 OSDN です。