パスワードを忘れた? アカウント作成
15828 story

厚生労働省、電子申請システムの脆弱性を半年見過ごし 106

ストーリー by kazekiri
いろいろでてくるな 部門より

tmp.tar.gz 曰く、

NHKニュース読売新聞で報道されているが、厚生労働省の電子申請・届け出システムにおいて、システム利用に必要となるソフトウェアに外部からシステムが制御されてしまうような 脆弱性が今年1月(読売報道では昨年12月)に発見されていたにも関わらず半年も放置され、全く何の対策も取られていなかったことが明らかになったらしい。NHK報道によれば、この期間のシステム利用件数は4万2000件ということである。双方ともに詳細がよく分からないし、該当のサイトにも何のアナウンスも見つけられないが、おそらく問題になっているのはJRE(Java Runtime Environment)の脆弱性のことだろう。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • セキュア・ジャパン (スコア:5, おもしろおかしい)

    by Anonymous Coward on 2007年07月06日 0時50分 (#1185289)
    はなくそほじほじ
    『内閣官房情報セキュリティ センター』
    http://www.nisc.go.jp/conference/seisaku/ [nisc.go.jp]「セキュア・ジャパン2007」より
    1)2008年度までに政府機関統一基準のレベルを世界最高のものとし
    2)2009年度初めにはすべての政府機関において政府機関統一基準が求める水準の対策を実施していることを目指し
  • 今回の報道の真実 (スコア:5, おもしろおかしい)

    by Anonymous Coward on 2007年07月06日 1時27分 (#1185307)
    今回の報道は、先日のNHKによる政府調達からMS-Officeを排除するという報道に対しての
    マイクロソフトへのお詫びを兼ねた放送だと思われます。

    その証拠に、NHKのニュースキャスターは、
    JREをアップデートしろとは言わず、
    「そのようなソフトは削除してください」と全国民に対して呼びかけていました。

    理化学研究所の研究員のコメントに対しても神業的な編集をして、
    「JREが勝手に銀行口座から振込みをする」という意味になっていました。

    つまり、NHKからメッセージは「SunのJavaはウイルスだから今すぐ削除しなさい」
    NHKの本音は、「MSよ、正面きって謝まることはできん。でも、借りは返したぞ」
    • その証拠に、NHKのニュースキャスターは、 JREをアップデートしろとは言わず、 「そのようなソフトは削除してください」と全国民に対して呼びかけていました。
      アップデートしても古いバージョンがそのまま残ってしまうので、「そのようなソフトは削除してください」は全く正しい指示なんですけど……。
      親コメント
  • by i_i (22332) on 2007年07月05日 23時34分 (#1185234) 日記
    なんでこの手(官公庁・電子証明書がらみ)のJavaアプレットは、特定リビジョン番号を決め打ちする仕様が多いんでしょう?
    マイナーバージョン指定ならともかく。
    • by beans-beans (28638) on 2007年07月05日 23時43分 (#1185237)
      よく分からない人がよく分からない仕様を出して
      よく分かってない人が決済するからです。

      で、請け負ったほうは請け負ったほうで当然メンテナンスが
      楽な仕様を出してみて(ここで、上で出てくる仕様ってなんだと
      思うのですが、そこまで投げてるのが実情でしょうし)、
      請け負ったほうとしては後で何か言われないようにするの(過剰なきめうち)と、
      少しの変更で随意契約とってきて小銭を稼ぐという
      仕組みが出来上がってるからです。

      こういうのって誰が悪いんでしょうね。
      よく分からないくせにやろうと言い出す人か、
      それをよく分からず決済しちゃう人か、
      よく分かってないのをいいことにその人たちを手玉に取る人か。

      みんな少しずつ悪いのかな。
      親コメント
      • by Anonymous Coward on 2007年07月06日 0時35分 (#1185282)
        以前、ある役所でwebシステム作成を外注したときに、
        そんな感じの仕様を提案してきたベンダがいました。

        そうする必然性はまったくなかったので直そうとしたところ、
        なぜかこっちの上司から、
        「素人がでしゃばらずにプロの彼らにまかせとけ」とのありがたい「助言」がありましたとさ。
        親コメント
        • Re:リビジョン限定 (スコア:3, すばらしい洞察)

          by Anonymous Coward on 2007年07月06日 8時31分 (#1185369)
          そこは発注者側が直すんじゃなくて、ベンダーに弁明させて、それで不都合があるなら追及すればいい話。
          素人が直そうとしたのであれば、上司は正しく助言したと思う。
          親コメント
      • by Anonymous Coward on 2007年07月06日 0時53分 (#1185291)
        > 後で何か言われないようにするの(過剰なきめうち)と

        ほら。
        問題が起こらないように決めてるのに文句言うしね。
        決めずに問題が起こると、それはそれでまた文句言うでしょ?

        公務員は古典力学的神様じゃないんだから、あらゆる事象を把握するのなんて不可能ですよ。
        そりゃーもちろん最善に向けて努力はしてるはずですけどね。
        深夜に霞ヶ関行ってみそ。働いているひといっぱいだよ。

        > こういうのって誰が悪いんでしょうね。

        問題があることを知っているのに発言しないあなたや俺たちかな。

        パブリックコメント募集があれば積極的に応募する。

        政府広報や報道発表があれば目を通す。

        入札の公示があれば注進する。

        意見が通ればそれでよし、通らなければ通らないで予見できた問題を無視したってことで叩けるしね。

        誰の国でもない自分達の国なんだから、もっと積極的に発言していこうよ。

        親コメント
      • by Anonymous Coward on 2007年07月06日 0時17分 (#1185268)
        何が悪いと言えば、「単年度予算」でしょう。

        一般企業であれば、減価償却期間のトータル費用で考えることも出来ますが、政府・自治体にはそれが出来ません。
        かといって、「単年度予算」を廃止すればよいのかと言えば、今度は議会との関係で問題が出ます。

        民主主義の原則を守って高いコストを払うか、それとも原則を破ってでも効率性を求めるかのどちらかになります。
        親コメント
        • Re:リビジョン限定 (スコア:1, すばらしい洞察)

          by Anonymous Coward on 2007年07月06日 8時34分 (#1185370)
          単年度予算を打破するのに、なんで民主主義の原則まで破らないといけないのか、
          よくわからないんだけど。

          今だって、複数年度以上にわたる事業なんていくらでもあるだろうに。

          そりゃもちろん、現場レベルで複数年度事業を効率よく立ち上げられるように
          する必要はあるのだろうけど、民主主義の原則を破るというのは話が飛躍しすぎ。
          親コメント
        • by deaf_ear (31391) on 2007年07月07日 0時35分 (#1185798) 日記
          御意。確かにそれもありますね。

          もうひとつ、技術者が冒険できなくなった素地形成もあるのではないかな。
          ある革新的かつ冒険的な技術を開発したとする。
          でも、それは今の官公庁の予算体系に合わないのは無論(技術検証機構の不在)、
          施設耐用年数の長期にわたって観測する予算の必要性
          (これはどうも研究予算と思われている節がある。)などなど、
          成果主義一辺倒の風潮が多すぎです。

          この素地形成については、会計検査院の影響も大きいとは思いますが、
          近頃は変わってて、国会に不当事項として上げられている内容は、
          ずいぶん変化しています。
          それを、錯誤よろしく官側は恐れているのではないでしょうか。
          単年度で完璧な成果を上げなければならないと。
          それが、民隅々まで波及してしまった。

          ある意味、国家戦略なのだからJAXAでも道路でも、河川でも、農業でも
          失敗するかもしれなけど、ちょっとやってみるわー。
          こんな予算も組めない国家になったんでしょうかね。
          それはそれで、窮屈だ。

          そんでもって、何かあれば補助金を当てにする民間も民間と。
          ちょっと襟を正そうかと、偉そうなことを言ってみた。(それだけ。^^)
          なんか、技術者倫理が崩壊。

          ところで、JREですが官庁の仕様で謳われることもありますし、
          下位互換性を最重要視した結果なんてのもありますし、
          メンテナンスまったく考えてないのも多々あり。
          メンテナンスまで考えると、随意契約になるから窮屈なんでしょ。きっと。
          --
          がんばろう。と自分に言い聞かせる。
          親コメント
      • Re:リビジョン限定 (スコア:3, すばらしい洞察)

        by Takahiro_Chou (21972) on 2007年07月06日 7時03分 (#1185353) 日記
        よく分からない人がよく分からない仕様を出して
        よく分かってない人が決済するからです。

        その件に関する報道も、よく分かってない人が、よく分かってない取材をして、
        よく分かってない人が、よく分かってない編集をして…(中略)…
        よく分かってない視聴者が、よく分かってないまま、変な解釈をすると。

        親コメント
        • Re:リビジョン限定 (スコア:1, おもしろおかしい)

          by Anonymous Coward on 2007年07月06日 11時42分 (#1185453)
          なんかよく分からない説明ですが、何となく分かったような気がするのでよしとします。
          丁寧な説明ありがとう。
          親コメント
      • 悪いのは… (スコア:1, フレームのもと)

        by kuni92 (30891) on 2007年07月06日 0時01分 (#1185255)
        社会の仕組み、つまり、資本主義が悪いのかなぁと 思います。
        親コメント
      • by Anonymous Coward
        そんなことも理解できない馬鹿役人と
        そいつらを粛正できない馬鹿大臣と
        そんなのしか任命できない馬鹿総理と
        そういうのしか指名できない馬鹿議会に
        それしか当選させられない馬鹿有権者も追加で。
        まとめると分相応ということです。民主的民主的。
      • by Anonymous Coward
        とりあえず、決と決の間違いはありがちだが、恥ずかしいのでちゃんと確認しよう。
        文章のバグを生む人(=自己校正ができない人)はコードのバグを生む人でもありますよ。
    • by NOBAX (21937) on 2007年07月06日 5時34分 (#1185341)
      官公庁の発注の仕組みはバケツのような仕様の決まったものを調達する仕組みしかないのです。
      作ったことのないものやいくつも実現手段があるものを調達する仕組みはありません。
      そこでいいものを作ろうとすると、業者と癒着しているといわれたり、談合だと指弾されるわけです。
      安全にやろうとするとロクなモノを買うことが出来ないのです。
      親コメント
    • by Oshoo! (9655) on 2007年07月06日 0時45分 (#1185287)
      しかも、役所ごとに違うバージョンで限定するのは勘弁してほしいですよ
      (例)地方税ポータルシステムではJRE1.5.0.xで決め打ち
      http://www.eltax.jp/regist/step2.html [eltax.jp]
      親コメント
    • バージョン決め打ちって聞くと、ISO 9001関係の文章管理システム構築を思い出す。

      全員のざっくりとした理解は「何でも(決め打ちで)文章化して明記しとけ」なので、
      最初がクソ仕様かつ柔軟性ゼロだと、後から何か変わっただけぜ全体が大騒ぎみたいな…。

      #知らん、知らんぞオレは
      --
      =-=-= The Inelegance(無粋な人) =-=-=
      親コメント
    • by Anonymous Coward
      ・動かないわけじゃないけど、テストが面倒くさい
      ・ちょっとぐらいの手間なら、ユーザーが負担すればいいじゃん
      ・どうせ、利用する人少ないし・・・
      ・「動くように修正したいなら、もっとお金ちょうだい!」

      ってなとこ?
    • by Anonymous Coward
      別に官公庁に限った話ではないと思いますが、いわゆる実行環境(ここではJVM)を限定することで開発会社の動作保証を得るということは往々にしておこなわれます。
      これは何かトラブルが発生した時の責任所在を明確にする対策になりますので、官公庁や大企業では顕著だと思います。

      # あまりにも大した話ではないのでAC。
      • by Anonymous Coward on 2007年07月06日 0時54分 (#1185293)
        ウチの会社ではMicrosoftVM決め打ちのシステムが普通に日常業務で使われています。
        本家からはもう配布されてないので、ダウンロード先は2次サイトを指定されます。

        いつまで使うんだろう。窓口になった部門は「バージョンアップの予定はない」って言ってたし。
        親コメント
  • by Anonymous Coward on 2007年07月05日 23時52分 (#1185243)
    7&iのnanaco事前登録サイトのXSSはいつになったら直るんだろう。
  • by Anonymous Coward on 2007年07月06日 9時06分 (#1185386)
    この全文検索システムは Namazu によって構築されています。+city [google.co.jp]で検索するとゾロゾロでてきますよ。 #関係者なんでAC
  • オオカミ中年 (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2007年07月06日 0時00分 (#1185254)
    たかぎひろみつのコメントまだー!?!?
  • 対策 (スコア:1, 興味深い)

    by Anonymous Coward on 2007年07月06日 0時07分 (#1185260)
    対策はこれ。 [takagi-hiromitsu.jp]
  • by petit.torrija (31677) on 2007年07月06日 8時54分 (#1185380)
    社内の人間から
    「電子入札しなくちゃならなくなったから
     JRE-.1.3.1(だったかな)入れないといけないんだけど」
    という問い合わせがあって、古いJREが使われている実情を実感したりしました。
  • リンク切れ補正 (スコア:1, 参考になる)

    by Anonymous Coward on 2007年07月06日 11時01分 (#1185427)
    タレコミ文の「NHKニュース」がもうリンク切れ。

    今はここで見られるみたい。
    http://www3.nhk.or.jp/news/2007/07/06/k20070705000157.html [nhk.or.jp]

    URLを比べると違いは日にち部分だけのようですね。
    http://www.nhk.or.jp/news/2007/07/05/d20070705000157.html [nhk.or.jp]
    http://www.nhk.or.jp/news/2007/07/06/k20070705000157.html [nhk.or.jp]
  • by skobamoss (27007) on 2007年07月06日 12時36分 (#1185490)
    で,どこぞのボケ省庁が診療報酬のオンライン請求を1年前倒しでやろう [cao.go.jp]って話につながるのかな。

    >(2)IT化の推進による医療事務の効率化と医療の標準化・質の向上
    >
    > *
    >
    > レセプトのオンライン請求を中心とする電子的請求の原則化(紙中心のレセプトを原則電子的請求へ)
  • by Anonymous Coward on 2007年07月05日 23時55分 (#1185250)
    脆弱性ではなく、欠陥 (バグ) と言おう。
    • by Anonymous Coward on 2007年07月06日 11時22分 (#1185442)
      脆弱性と欠陥は違いますね。

      欠陥は設計・仕様通りに動かないもの。
      脆弱性は、設計・仕様通りであったとしても、何かしら問題があって
      動作不能やセキュリティ侵害がおきるものも含まれる。
      もちろん、欠陥によるものも含まれる。

      例えば、AppleのQuickTimeの深刻な脆弱性では、Appleは
      欠陥ではなく設計通りに実現した正当な機能として
      長期間修正を拒んでいました。
      実際の被害者が大量に出ていても。

      また、Appleが製造時にiPodにWindows用マルウェアを仕込んで
      販売し、実際の被害が出た場合も、それはWindowsの欠陥ではなく
      そういうやり方で感染させられる脆弱性を指摘していましたね。
      ついでにいえば、iPodにマルウェアが混入したことに関しては、
      iPodやMacで動作するものではないので、iPodの脆弱性ではない
      という考えでもあるらしい。

      JREの件はよくわかりませんけど、JREの欠陥によって、それを使った
      ソフトや環境が脆弱性を持つことはJREの脆弱性ではないという
      話ならば、Appleの言い方と似ていますね。

      親コメント
typodupeerror

人生unstable -- あるハッカー

読み込み中...