厚生労働省、電子申請システムの脆弱性を半年見過ごし 106
ストーリー by kazekiri
いろいろでてくるな 部門より
いろいろでてくるな 部門より
tmp.tar.gz 曰く、
NHKニュースと読売新聞で報道されているが、厚生労働省の電子申請・届け出システムにおいて、システム利用に必要となるソフトウェアに外部からシステムが制御されてしまうような 脆弱性が今年1月(読売報道では昨年12月)に発見されていたにも関わらず半年も放置され、全く何の対策も取られていなかったことが明らかになったらしい。NHK報道によれば、この期間のシステム利用件数は4万2000件ということである。双方ともに詳細がよく分からないし、該当のサイトにも何のアナウンスも見つけられないが、おそらく問題になっているのはJRE(Java Runtime Environment)の脆弱性のことだろう。
セキュア・ジャパン (スコア:5, おもしろおかしい)
『内閣官房情報セキュリティ センター』
http://www.nisc.go.jp/conference/seisaku/ [nisc.go.jp]「セキュア・ジャパン2007」より
Re:セキュア・ジャパン (スコア:3, おもしろおかしい)
Re:セキュア・ジャパン (スコア:2, おもしろおかしい)
「えぇ。目指しましたよ。」
「達成できたんですか?」
「目指しましたけどね。」
「達成できてないんですね?」
「目指しはしたんだから、『目指す』というのは達成しましたよ。」
# ・・・ソースがついたらどうしよう。orz
Re:セキュア・ジャパン (スコア:1)
Re:セキュア・ジャパン (スコア:2, 興味深い)
#他店と比較して明らかに流行ってなさそうなのに、なんで潰れないんだろ?
Re:セキュア・ジャパン (スコア:2, 参考になる)
「ほげほげカメラさんの値段なんか出せるわけないです」と
そっぽ向いて言われたぜ。
# 他店10万円(特売に非ず)、この店12万円くらいだった。
あまりに腹が立ってそれ以来行ってない。
>#他店と比較して明らかに流行ってなさそうなのに、なんで潰れないんだろ?
同感同感。ホントそう思うよ。
Re:セキュア・ジャパン (スコア:3, おもしろおかしい)
深謀遠慮、恐れ入りました。
今回の報道の真実 (スコア:5, おもしろおかしい)
マイクロソフトへのお詫びを兼ねた放送だと思われます。
その証拠に、NHKのニュースキャスターは、
JREをアップデートしろとは言わず、
「そのようなソフトは削除してください」と全国民に対して呼びかけていました。
理化学研究所の研究員のコメントに対しても神業的な編集をして、
「JREが勝手に銀行口座から振込みをする」という意味になっていました。
つまり、NHKからメッセージは「SunのJavaはウイルスだから今すぐ削除しなさい」
NHKの本音は、「MSよ、正面きって謝まることはできん。でも、借りは返したぞ」
Re:今回の報道の真実 (スコア:1)
リビジョン限定 (スコア:3, 興味深い)
マイナーバージョン指定ならともかく。
Re:リビジョン限定 (スコア:4, 興味深い)
よく分かってない人が決済するからです。
で、請け負ったほうは請け負ったほうで当然メンテナンスが
楽な仕様を出してみて(ここで、上で出てくる仕様ってなんだと
思うのですが、そこまで投げてるのが実情でしょうし)、
請け負ったほうとしては後で何か言われないようにするの(過剰なきめうち)と、
少しの変更で随意契約とってきて小銭を稼ぐという
仕組みが出来上がってるからです。
こういうのって誰が悪いんでしょうね。
よく分からないくせにやろうと言い出す人か、
それをよく分からず決済しちゃう人か、
よく分かってないのをいいことにその人たちを手玉に取る人か。
みんな少しずつ悪いのかな。
Re:リビジョン限定 (スコア:4, 興味深い)
そんな感じの仕様を提案してきたベンダがいました。
そうする必然性はまったくなかったので直そうとしたところ、
なぜかこっちの上司から、
「素人がでしゃばらずにプロの彼らにまかせとけ」とのありがたい「助言」がありましたとさ。
Re:リビジョン限定 (スコア:3, すばらしい洞察)
素人が直そうとしたのであれば、上司は正しく助言したと思う。
Re:リビジョン限定 (スコア:2, すばらしい洞察)
役人だったら、“彼ら”のせいにできるんですか…
アウトプットに対して責任を負う必要がないから可能なんですかね。民間企業ならあり得ないでしょう。普通は、導入責任者に処分が下りますよね。まぁ、導入“担当”者なら責任転嫁できても、責任者(大抵はその上司)はそんな言い訳は許されない。
役人だからって、責任者がいない訳ないと思うんですが。
お国や地方自治体のシステムを開発するのは薄氷を踏む思い (スコア:4, すばらしい洞察)
ほら。
問題が起こらないように決めてるのに文句言うしね。
決めずに問題が起こると、それはそれでまた文句言うでしょ?
公務員は古典力学的神様じゃないんだから、あらゆる事象を把握するのなんて不可能ですよ。
そりゃーもちろん最善に向けて努力はしてるはずですけどね。
深夜に霞ヶ関行ってみそ。働いているひといっぱいだよ。
> こういうのって誰が悪いんでしょうね。
問題があることを知っているのに発言しないあなたや俺たちかな。
パブリックコメント募集があれば積極的に応募する。
政府広報や報道発表があれば目を通す。
入札の公示があれば注進する。
意見が通ればそれでよし、通らなければ通らないで予見できた問題を無視したってことで叩けるしね。
誰の国でもない自分達の国なんだから、もっと積極的に発言していこうよ。
Re:お国や地方自治体のシステムを開発するのは薄氷を踏む思い (スコア:1)
オフトピだけどID。
◆IZUMI162i6 [mailto]
Re:お国や地方自治体のシステムを開発するのは薄氷を踏む思い (スコア:1)
申し訳ない。
◆IZUMI162i6 [mailto]
Re:リビジョン限定 (スコア:3, 興味深い)
一般企業であれば、減価償却期間のトータル費用で考えることも出来ますが、政府・自治体にはそれが出来ません。
かといって、「単年度予算」を廃止すればよいのかと言えば、今度は議会との関係で問題が出ます。
民主主義の原則を守って高いコストを払うか、それとも原則を破ってでも効率性を求めるかのどちらかになります。
Re:リビジョン限定 (スコア:1, すばらしい洞察)
よくわからないんだけど。
今だって、複数年度以上にわたる事業なんていくらでもあるだろうに。
そりゃもちろん、現場レベルで複数年度事業を効率よく立ち上げられるように
する必要はあるのだろうけど、民主主義の原則を破るというのは話が飛躍しすぎ。
Re:リビジョン限定 (スコア:1)
たぶん単年度予算の反対は五カ年計画 [geocities.co.jp]だと思っているんでしょう.
Re:リビジョン限定 (スコア:1)
もうひとつ、技術者が冒険できなくなった素地形成もあるのではないかな。
ある革新的かつ冒険的な技術を開発したとする。
でも、それは今の官公庁の予算体系に合わないのは無論(技術検証機構の不在)、
施設耐用年数の長期にわたって観測する予算の必要性
(これはどうも研究予算と思われている節がある。)などなど、
成果主義一辺倒の風潮が多すぎです。
この素地形成については、会計検査院の影響も大きいとは思いますが、
近頃は変わってて、国会に不当事項として上げられている内容は、
ずいぶん変化しています。
それを、錯誤よろしく官側は恐れているのではないでしょうか。
単年度で完璧な成果を上げなければならないと。
それが、民隅々まで波及してしまった。
ある意味、国家戦略なのだからJAXAでも道路でも、河川でも、農業でも
失敗するかもしれなけど、ちょっとやってみるわー。
こんな予算も組めない国家になったんでしょうかね。
それはそれで、窮屈だ。
そんでもって、何かあれば補助金を当てにする民間も民間と。
ちょっと襟を正そうかと、偉そうなことを言ってみた。(それだけ。^^)
なんか、技術者倫理が崩壊。
ところで、JREですが官庁の仕様で謳われることもありますし、
下位互換性を最重要視した結果なんてのもありますし、
メンテナンスまったく考えてないのも多々あり。
メンテナンスまで考えると、随意契約になるから窮屈なんでしょ。きっと。
がんばろう。と自分に言い聞かせる。
Re:リビジョン限定 (スコア:3, すばらしい洞察)
その件に関する報道も、よく分かってない人が、よく分かってない取材をして、
よく分かってない人が、よく分かってない編集をして…(中略)…
よく分かってない視聴者が、よく分かってないまま、変な解釈をすると。
Re:リビジョン限定 (スコア:1, おもしろおかしい)
丁寧な説明ありがとう。
悪いのは… (スコア:1, フレームのもと)
Re:悪いのは… (スコア:1)
投入した資本に見合った利得がないとしたら、それは資本主義というのであろうか?
Re:悪いのは… (スコア:1)
/* Kachou Utumi
I'm Not Rich... */
Re:悪いのは… (スコア:1)
Re:悪いのは… (スコア:0)
つ 民主主義
Re:悪いのは… (スコア:1)
Re:リビジョン限定 (スコア:0)
そいつらを粛正できない馬鹿大臣と
そんなのしか任命できない馬鹿総理と
そういうのしか指名できない馬鹿議会に
それしか当選させられない馬鹿有権者も追加で。
まとめると分相応ということです。民主的民主的。
Re:リビジョン限定 (スコア:0)
文章のバグを生む人(=自己校正ができない人)はコードのバグを生む人でもありますよ。
バケツを買う仕組みしかないからです (スコア:2, 参考になる)
作ったことのないものやいくつも実現手段があるものを調達する仕組みはありません。
そこでいいものを作ろうとすると、業者と癒着しているといわれたり、談合だと指弾されるわけです。
安全にやろうとするとロクなモノを買うことが出来ないのです。
Re:リビジョン限定 (スコア:1)
(例)地方税ポータルシステムではJRE1.5.0.xで決め打ち
http://www.eltax.jp/regist/step2.html [eltax.jp]
Re:リビジョン限定 (スコア:1)
こういうのってシステムの方では、「いっちゃんバージョン高い奴使え」って言って来てても
クライアント側で「いや、このアドレスではこのバージョンを使う」って明示的に指定できないもんですかねぇ。
IEのプラグイン作ろうと手を出しかけたけど技術力が追いつかず諦めたorz
Re:リビジョン限定 (スコア:1)
全員のざっくりとした理解は「何でも(決め打ちで)文章化して明記しとけ」なので、
最初がクソ仕様かつ柔軟性ゼロだと、後から何か変わっただけぜ全体が大騒ぎみたいな…。
#知らん、知らんぞオレは
=-=-= The Inelegance(無粋な人) =-=-=
Re:リビジョン限定 (スコア:0)
・ちょっとぐらいの手間なら、ユーザーが負担すればいいじゃん
・どうせ、利用する人少ないし・・・
・「動くように修正したいなら、もっとお金ちょうだい!」
ってなとこ?
Re:リビジョン限定 (スコア:0)
これは何かトラブルが発生した時の責任所在を明確にする対策になりますので、官公庁や大企業では顕著だと思います。
# あまりにも大した話ではないのでAC。
Re:リビジョン限定 (スコア:1, 興味深い)
本家からはもう配布されてないので、ダウンロード先は2次サイトを指定されます。
いつまで使うんだろう。窓口になった部門は「バージョンアップの予定はない」って言ってたし。
それもそうだけど (スコア:2, 興味深い)
役場のweb検索システムでNAMAZUのXSSバグが放置されすぎ (スコア:2, 参考になる)
Re:役場のweb検索システムでNAMAZUのXSSバグが放置されすぎ (スコア:1, 参考になる)
Namazuの公式サイトの情報と、対象のサイトが古いバージョンを表示しているだけで受け付けてくれました。
オオカミ中年 (スコア:1, おもしろおかしい)
対策 (スコア:1, 興味深い)
つい昨日も (スコア:1)
「電子入札しなくちゃならなくなったから
JRE-.1.3.1(だったかな)入れないといけないんだけど」
という問い合わせがあって、古いJREが使われている実情を実感したりしました。
リンク切れ補正 (スコア:1, 参考になる)
今はここで見られるみたい。
http://www3.nhk.or.jp/news/2007/07/06/k20070705000157.html [nhk.or.jp]
URLを比べると違いは日にち部分だけのようですね。
http://www.nhk.or.jp/news/2007/07/05/d20070705000157.html [nhk.or.jp]
http://www.nhk.or.jp/news/2007/07/06/k20070705000157.html [nhk.or.jp]
診療明細の電子請求 (スコア:1)
>(2)IT化の推進による医療事務の効率化と医療の標準化・質の向上
>
> *
>
> レセプトのオンライン請求を中心とする電子的請求の原則化(紙中心のレセプトを原則電子的請求へ)
JRE(Java Runtime Environment)の脆弱性 (スコア:0)
脆弱性と欠陥の違い (スコア:2, 参考になる)
欠陥は設計・仕様通りに動かないもの。
脆弱性は、設計・仕様通りであったとしても、何かしら問題があって
動作不能やセキュリティ侵害がおきるものも含まれる。
もちろん、欠陥によるものも含まれる。
例えば、AppleのQuickTimeの深刻な脆弱性では、Appleは
欠陥ではなく設計通りに実現した正当な機能として
長期間修正を拒んでいました。
実際の被害者が大量に出ていても。
また、Appleが製造時にiPodにWindows用マルウェアを仕込んで
販売し、実際の被害が出た場合も、それはWindowsの欠陥ではなく
そういうやり方で感染させられる脆弱性を指摘していましたね。
ついでにいえば、iPodにマルウェアが混入したことに関しては、
iPodやMacで動作するものではないので、iPodの脆弱性ではない
という考えでもあるらしい。
JREの件はよくわかりませんけど、JREの欠陥によって、それを使った
ソフトや環境が脆弱性を持つことはJREの脆弱性ではないという
話ならば、Appleの言い方と似ていますね。
Re:問題はアップデートの不連続性じゃないかな (スコア:1, すばらしい洞察)
マイナーアップデート時の間違いでしょうか?
続報: メンテナンス&全省庁の実態調査へ (スコア:1)
ということで、厚労省の電子申請・届出システム [mhlw.go.jp] は改修された、のか?
欠陥ソフト 省庁の実態調査へ [nhk.or.jp] ということで、同様の問題がぼろぼろ出てくる、ことになるのか?