佐賀市の公式サイトでマイナンバーカードなどの画像が見られる状態に 59
ストーリー by nagazou
閲覧可能 部門より
閲覧可能 部門より
佐賀市の公式サイトで、マイナンバーカードや運転免許証などの個人情報が閲覧可能になっていたことが分かった(佐賀市リリース、NHK)。
同市のお問い合わせのメール送信フォームから送信された添付画像に関して、特定のURLを直接入力することにより第三者が閲覧できる状態となっていたという。同市は外部からの指摘で状況を把握したとしている。3月1日時点では被害は確認されていないとしている。
閲覧できる状態となっていた画像データは986件。そのうちマイナンバーカード・同通知カード、運転免許証、パスポート、申請書等の個人情報を含む画像データが123件。報告写真等の個人情報を含まない画像データは863件だという。
2019年に市の公式サイトを改修したときに、メール送信フォームに画像添付機能を追加した。この画像データはファイル名がランダムに付けられ、メール本文とともに各課に送信される。メール送信履歴は、第三者が閲覧できないようアクセス制限を設定していたものの、画像データにはアクセス制限が適切に設定されていなかったとのこと。
同市のお問い合わせのメール送信フォームから送信された添付画像に関して、特定のURLを直接入力することにより第三者が閲覧できる状態となっていたという。同市は外部からの指摘で状況を把握したとしている。3月1日時点では被害は確認されていないとしている。
閲覧できる状態となっていた画像データは986件。そのうちマイナンバーカード・同通知カード、運転免許証、パスポート、申請書等の個人情報を含む画像データが123件。報告写真等の個人情報を含まない画像データは863件だという。
2019年に市の公式サイトを改修したときに、メール送信フォームに画像添付機能を追加した。この画像データはファイル名がランダムに付けられ、メール本文とともに各課に送信される。メール送信履歴は、第三者が閲覧できないようアクセス制限を設定していたものの、画像データにはアクセス制限が適切に設定されていなかったとのこと。
確認できていないだけ (スコア:1)
個人情報の漏洩元が漏洩による被害を確認できないって、確認する能力が無いだけでは。
ψアレゲな事を真面目にやることこそアレゲだと思う。
Re: (スコア:0)
そんなの被害者が連絡でもしてこなきゃ、わかりっこないんじゃね
取材した方だってそういう報告があったかどうかを尋ねてるだけだと思う
Re: (スコア:0)
このぐらいの調査ができるのならhttpdのログぐらい読めると思うけど。載ってないなら漏れてないのでしょう。
Re:確認できていないだけ (スコア:2, 参考になる)
Re: (スコア:0)
こんな管理のこと、果たしてログどれくらいの期間残しているのかなあ
Re: (スコア:0)
認識しつつ放置していたわけではない、と言ってるだけでは。
Re: (スコア:0)
「現時点ではシステムの不備による被害は確認されていない」ってのは、個人情報の悪用による被害があったかどうかってことでしょ。
それは確認能力どうこうじゃないと思う。
大丈夫 (スコア:1)
既に中国にだだ漏れてるそうなので今更そこでお漏らししても大丈夫ですね。
https://www.jiji.com/jc/article?k=2021021700936&g=pol [jiji.com]
問い合わせに身分証明書? (スコア:0)
何の問い合わせしたらそれが必要になるんだろう
Re:問い合わせに身分証明書? (スコア:2, 興味深い)
市側から要求したと言うよりは、問い合わせ者が「問い合わせの参考になるだろう」と勝手に思い立ってアップロードしたものだろう。
閲覧可能だったのは問題だけど、そんなヤバめのものをいとも簡単にアップロードする問い合わせ者のリテラシーが問題。
Re: (スコア:0)
これにオフトピのマイナスモデレートした奴、誰だよ。
結構重要なこと付いてる気がするぞ。
すば洞はあっても、オフトピはないわ。
「電子提言箱」、「各課へのお問い合わせ」のメール送信フォームに個人情報を含む画像データをアップするのは、普通にリテラシー低いだろ。
それが123件もあったというのは驚きだ。
市側が要求するとは思えないけどな。
Re: (スコア:0)
てか役所の手続きで身分証明書のコピーを郵送で送るのと変わらないよねこれ
Re: (スコア:0)
123件の内訳は、「マイナンバーカード4件・同通知カード2件、運転免許証2件、パスポート2件、申請書等113件」だそうです。
ほとんどが申請書等ということで、申請書の書き方等の問い合わせで、名前や住所が書かれた画像を添付してしまったのでしょう。リテラシー低いと言えばその通りですが、やっちゃう人はいそうに思えます。
免許証は住所が文字数の都合で省略されたりしてるので、住民票と違うけどいいのかとか、申請書に書く住所はどうすればいいとか、まぁいろいろと想像はできます。
いずれにせよ、市側が要求するとは思えないというのは同感です。
Re: (スコア:0)
勤務先が運営している有料サービスだと添付ファイル欄は無いので画像が来ることはありませんが
クレジットカードの番号、有効期限、セキュリティコードやマイナンバーが来ることなんて日常茶飯事です
それどころか、過去に数件申込時や支払方法変更時にで免許証やクレジットカードの「現物」を送付してこられる方がいらっしゃいます
クレジットカード現物を送付した方に架電したところ「書き方が判らなかったので原本を送った方が早いと思った」と回答されたと聞いた時は絶句したものです
「猫を電子レンジに入れない」では無いですが想像を絶するレベルのリテラシーの方もいらっしゃるんですよね
身分証明書警察です (スコア:1)
身分証明書とは禁治産・準禁治産、成年後見の有無、破産の有無を証明するものです。
今回漏洩した書類は正しくは本人確認確認書類といいます。
めんどくさくてごめんね!
佐賀だけに (スコア:0)
口さがないな
Re: (スコア:0)
このレベルの人間にマイナンバーの管理させているという事実 (スコア:0)
マイナンバーカードに新しい機能をあれこれ付加しようと画策しているようだが、現時点でさえこのザマ。
これで国民健康保険や免許証の代わりに使えるようになったら、一体どれほどの騒ぎが起きるのだろう。
Re: (スコア:0)
マイナンバーが発明される遥か昔から、「このレベルの人間」が個人情報を大量に扱ってるんですよ
今更心配することじゃないです
Re:このレベルの人間にマイナンバーの管理させているという事実 (スコア:1)
Re:このレベルの人間にマイナンバーの管理させているという事実 (スコア:1)
だね。9割の職員をクビにしよう。
Re: (スコア:0)
もっとやばくなるんですよw
Re:このレベルの人間にマイナンバーの管理させているという事実 (スコア:1)
具体的にどうやばくなるんです?
# 半分くらい本気でそう思う。
Re: (スコア:0)
古い不正が減って新しい不正が増えるだけで、全体では何も変わってないのだから、心配しなくていいよ
Re: Re:このレベルの人間にマイナンバーの管理させているという事実 (スコア:1)
屁理屈ですらない理屈。確かに数学的には不正が無数にあるならそういうこともあるのかも知れませんね。
Re: (スコア:0)
マイナンバーが漏れることで起きる実害ってどういう事例があるんでしょうか?
住所氏名は想像しやすいんですが、マイナンバーが漏れることで起きるケースが想像しづらくて。
マイナンバーカードを偽造されて本人確認に使われてしまうとかですかね?
煽りとかじゃなくて解説してもらえると嬉しいです。
Re:このレベルの人間にマイナンバーの管理させているという事実 (スコア:1)
マイナンバーが流出したらマイナンバーの変更が必要になる。この手続きが実害。
すでに届けてる銀行、会社、その他もろもろ全部に変更手続きが必要になる。クレカ紛失したときどころじゃない面倒さ
Re: (スコア:0)
マイナンバーなんて危険危険!
とか煽って変な法律で公開縛って
法律違反したから危険危険!
みたいなとこあるよねぇ
Re: (スコア:0)
マイナンバーカード⚪︎×クイズ
https://mynumbercard.point.soumu.go.jp/flow/mnp-get/security_quiz/ [soumu.go.jp]
「うら面のマイナンバーカードを他人に見られたら他人に悪用される?」
→ 答えはバツ。
「マイナンバーを見られても、他人はあなたになりすまして手続することはできません。(中略)悪用は困難です。」
これが総務省の公式見解です。
Re: (スコア:0)
危惧されてる悪用はなりすましじゃ無いんだけどなぁ。
# 新型コロナワクチンの副作用でアナフィラキシーばっかり強調されて問題ない問題ないと連呼されてるのと同じような欺瞞を感じる。
Re: (スコア:0)
でもその悪用の例は出せませんと
Re: (スコア:0)
だからどういう悪用が起こり得るのか書けよ
Re: (スコア:0)
そしてDQN翼の白痴煽りが発生すると。
Re: (スコア:0)
を全く区別できてない辺り、コメ主も「このレベルの人間」の一人という皮肉
やっぱり日本人にマイナンバー制度は早すぎたんだなと
Re: (スコア:0)
正直、ナンバーが漏れた程度で問題になるシステム・制度の設計が
おかしいような気がするんだよなあ。秘密を守るために暗号化
アルゴリズムを秘密にするみたいなおかしさを感じる。
Re: (スコア:0)
元々は民間企業が番号を収集して個人追跡IDに使用されてしまうのを避けたかったのだろう
ただそのためにあまり厳しく前宣伝したおかげで、羹に懲りて膾を吹くみたいな事態になってしまった
ネットで買い物をする程度のことにいちいちマイナンバーで会員登録、みたいな社会にならずに済んだところまでは
上手くいったのだから、これから色々なサービスに対応させていく過程もうまく手綱をとってほしいもんだ
Re: (スコア:0)
マイナンバーに限らず1対1で結びついてれば個人追跡に使用されてしまうわな。
マイナンバーは基本NO(不可視)とサブNO(可視)方式にして。
サブNOは好きなだけ作成できるようにすれば良かったんだよ。
スマホアプリとかでワンボタンでサブNOを発行できるようにするとかさ。
発行元(政府など)では紐付けできるけど外では一切紐付けできなくなるし。
Re: (スコア:0)
すれば良かった、ではなく実際そうなっているのだが……
個人情報を (スコア:0)
佐賀市に行こう!
Re: (スコア:0)
佐賀市 「佐賀さないでください」
百害あって一利無し (スコア:0)
具体的なメリットってなんでしたっけ?
Re: (スコア:0)
税金の取りはぐれが減る…んだっけ?(国側のメリット)
Re: (スコア:0)
たとえば、医療費や税控除の対象者だったとして、それを自覚してない人達に通知できる。
その他にも、年金等の納付記録等が正確に管理できるようになるから漏れが減る。
要は厳格に管理されると、救われる人がいる反面、それが不都合な人たちもいる。
一般論で考えると、社会保障面での管理強化は、弱者に都合よく強者には不利益なことが多い
役所の担当者も馬鹿揃い (スコア:0)
ド素人同様の業者に丸投げして作らせたんだろうけど
何百万?何千万?円で作らせてキックバックいくらもらったんだって話だよな
この程度のシステムにしてはおそらくかなりボッタクリ金額だろう
役所担当者もウマー、業者もウマー
市民の情報なんぞゴミ同様と思ってる奴らだからな
Re: (スコア:0)
まあ田舎だから。
玄関の鍵掛けなくていいレベルの人たちにそこまで求めてもね。
Re: (スコア:0)
北関東がトップを独占、佐賀も13位と健闘
Re: (スコア:0)
つまり玄関の鍵掛けなくていいレベルの人たちではなく、玄関の鍵掛けないレベルの人たちだと
Re:役所の担当者も馬鹿揃い (スコア:2)
被害が許容範囲に収まっていれば「玄関のカギを掛けなくていいレベル」なんじゃないかな
Re: (スコア:0)
> おおむね田舎ほど高いようだ
佐賀が13位なのは修羅の国福岡に隣接してるせい。かもられてる印象。
福岡佐賀以外の九州他県は低い。
IPアドレスブロックとセッションクッキーの二重で保護を (スコア:0)
アップロードした画像をアップロード者が確認する機能をつけるサイトは多いが、
こういった場合、
・アップロード者のIPと上位3オクテットが同じ
・アップロード者に発行したセッションクッキーを持ってる
この2つの条件を満たした人にだけアクセス許可すればいい
ただし、IPv6ユーザーは知らん