0 :ハムスター速報 2021年5月18日 12:29 ID:hamusoku
識別符号(アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号≒パスワード)がないので、不正アクセス禁止法が禁ずる行為には当たらないが、虚偽内容で予約するのは、人の事務処理を誤らせる目的で行えば電磁的記録不正作出・供用罪。https://t.co/nUIuPNRQSx
— Hiromitsu Takagi (@HiromitsuTakagi) May 17, 2021
悪意あるアクセスを防ぐにはかなり大変な模様
接種券番号・生年月日リストを得て確認しようにも、生年月日空間が1万通り程度しかないので、(ドコモ口座事件で検討したように)リバースブルートフォースで当てられてしまう。それを十分に防ぐには接種券番号をスパースにしないといけなくて、ランダム生成で20桁ほど必要。https://t.co/p9zhbXrjPf
— Hiromitsu Takagi (@HiromitsuTakagi) May 18, 2021
マイナンバーを使っても防げない(マイナンバーカードによるログインなら防げるが、全員が利用できるわけではないので採用できない)。それどころか、生年月日とマイナンバーの組を特定する機能として働いてしまい(去年のドコモ口座事件を見よ)重大な情報漏えいが発生する。https://t.co/NWNfXYdAFC
— Hiromitsu Takagi (@HiromitsuTakagi) May 18, 2021
ただし、この問題(「生年月日の空間が1万通り程度なので4桁暗証番号問題…」)があるため、正規に予約した人の予約状況が、ロックをかけたとしてもリバースブルートフォース攻撃によって、1万分の1程度の割合で閲覧されてしまう。ロックがなければ、全て閲覧され得る。https://t.co/vVPr8mIJLk
— Hiromitsu Takagi (@HiromitsuTakagi) May 18, 2021
漏えいの観点では、最悪ケースの想定として、攻撃者により、全ての接種券番号についてのこの画面の情報と生年月日の組みがリスト化され、暴露されたとして、それがどうなんだ?ということになる。https://t.co/dIZVBxAmx1
— Hiromitsu Takagi (@HiromitsuTakagi) May 18, 2021
———
Source: ハムスター速報
【マスゴミ】ワクチンを無駄にした朝日新聞・毎日新聞の記者達、犯罪者(電磁的記録不正作出・供用罪)になる…ネタで予約いじってるやつらもアウト