パスワードを忘れた? アカウント作成
7292137 story
セキュリティ

国家検定「ファイナンシャル・プランニング技能検定試験」の試験問題、Webサイト上で試験前に閲覧可能とになっていた 45

ストーリー by hylom
あるあ… 部門より
chuukai 曰く、

1月27日に実施された国家検定「ファイナンシャル・プランニング技能検定」において、検定の実施団体である一般社団法人金融財政事情研究会のWebサイトに事前に試験問題が掲載されていたことが判明した(一般社団法人金融財政事情研究会のお知らせ厚生労働省の報道資料毎日新聞読売新聞)。

試験前日の1月26日、2ちゃんねるのスレッド「1級FP技能士専用の意見交換の場11」の674

FPのサイトの過去問回答例の画面にしてURLにある2012を2013に変えてみろ。今からでも十分間に合うだろ。検討を祈る。

という書き込みがあったことから、事前にアクセスされることを想定していなかったファイルに、ディレクトリの一部を変更するだけでアクセスできたことが原因であったとみられる。

「公開予定のファイルを事前に外部からアクセスできる状態に置く」という危険な運用はどうすれば防げるのだろうか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by NOBAX (21937) on 2013年01月29日 19時31分 (#2315206)
    >都の行政書士合格者名 発表前にネット流出(2006年)
    >群馬県の宅地建物取引主任者資格試験の合格者情報が、正式発表の前日に県のホームページ上で閲覧可能(2006年)

    年号とかで類推可能というのが拙いよね。
    • 保管するディレクトリ名を、「二千十四年春試験」とか全角文字でわかりやすくつける。
      次に、その名称をBase64でurl用にエンコードするんだ。
      こうすれば、簡単には推測できまい。
      適当に顔文字なんか混ぜたら、もっと推測しにくくなるぞ。

      /*
       担当者が公開用データを保存したディレクトリ名を覚えきれず、公開できなくなるという新たなリスクが発生するのであった・・・。(^^;
      */

      親コメント
    • by Anonymous Coward

      皇紀とか使えば類推されにくいかも。
      または地球を公転上から押し出して2014年以降が来ないようにすれば。

  • タレこんだchuukaiです。タイトルを変更していただいてありがとうございます。

    FP検定:試験前に問題を誤掲載…準備中にサーバー送信(毎日新聞 2013年01月29日 12時20分(最終更新 01月29日 12時39分))

     同研究会によると、問題用紙は通常、試験翌日にHPで公開する。しかし今回は担当職員が「翌日スムーズに公開できるように」と、24日午後にHPのサーバーへ送信した。HPを開いただけでは閲覧できなかったが、既に公開されていた過去の試験のアドレスの一部を今回の実施年月日に変えると、見られる状態だったという。
     27日午前8時半ごろ、事前掲載を指摘する電話があったことから、同研究会はいったん問題を削除。どのくらい漏えいしたか不明だったため、もう一つの実施団体「日本ファイナンシャル・プランナーズ協会」(港区)に連絡し、試験実施に踏み切った。問題用紙への試験前のアクセスは24件確認された。
     西村祥一・同研究会検定センター所長は「サーバーに送っただけで外部から閲覧できると思わなかった。受検者にご迷惑をおかけし大変申し訳ない。今後の対応は厚生労働省と協議して決めたい」と話した。

    ファイルを外部公開向けウエブサーバーに送っても、そのファイルは外部から閲覧できないとしたら、どんなファイルでも公開できないじゃないか。

  • ナニー!!! (スコア:2, 参考になる)

    by Anonymous Coward on 2013年01月29日 21時18分 (#2315297)

    1/27にFP3受検して、自己採点で合格してたんだけど、
    ショーック!
    なんてバカなことしてくれたんだ、金財研は!

    解答の公開が試験当日の17:30だったんだけど、
    金財研の試験回数が多いから(2002年くらいから)、
    まさかそんなバカなことをしてるとは思わなかった。

    FP3級も理系にとっては意外と難しかった。
    テキストになぜこうするのか理由がなくて、なかなか覚えられなかったし、たとえばバランスシートの作り方は分かるけど、
    どう評価し、どう変えていけばいいかとかは書いてないの(´・ω・`)

    やり直し試験はないだろうけど、もう一度勉強しろと言われても、お断りしたい。

  • by Anonymous Coward on 2013年01月29日 19時25分 (#2315200)

    Contents Management Systemというものがあります。
    たとえばXOOPSのように、無償で利用できるもので
    非常に拡張性が高いものもあります。

    そういったCMSの中には、期限を指定した情報公開の仕組みがあり
    期日が来たら、情報が公開されるように設定することもできます。

    こういったシステムが登場した以上、ほんの4,5年もしたら
    少なくとも、事前に情報が漏洩するようなことはなくなるはずです。

    公開終了後も、ウェブ検索のキャッシュで見られることはあるかもしれませんし
    Internet Archiveのようなサービスがありますし…
    ウェブサイトを、あたかも魚拓を取るように保存するサービスが生まれれば
    期限で公開終了する仕組みは、形骸化してしまうかもしれません。

  • by Anonymous Coward on 2013年01月29日 19時46分 (#2315218)

    一時、次回の問題が過去問であるかのように、誤って公開される不具合がございました。
    現在はこの不具合は解消されており、過去問のみが公開されてた状態になっております。

    • by Anonymous Coward

      今後このような事を繰り返さないよう適切に対処いたしますので、
      アドレスに2014と入れることはおやめください。

  • by Anonymous Coward on 2013年01月30日 3時26分 (#2315480)

    >「公開予定のファイルを事前に外部からアクセスできる状態に置く」という危険な運用はどうすれば防げるのだろうか。

    本番環境にアップしなければいいだけです。
    アクセス制限とか小細工をする必要はありませんがな。

    小規模なら必要なタイミングで人手でアップすればいいし、大規模なら
    検証環境から何らかの手段で更新すればいいだけ。

    議論する価値のあるテーマじゃないと思うが。

    • by Anonymous Coward

      議論すべきは、こんなアホな運用を何故誰も止められなかったのか、ですよね。

    • by Anonymous Coward

      乗せちゃっている以上は、管理をきちんと閲覧の期限や対象を指定していたとしても、何らかの脆弱性で見れる状態に成り得ると思わないといけない。
      また、乗せるだけでも人的ミスの可能背は除外できない。

      となれば、「絶対に出てはダメ」と言うのなら、最初から置かない。
      それだけの話ですよね。
      「偶には出ても仕方ない」程度なら、「CMSの公開期限設定をしっかりする」ってのも対策になるのだろうけど。

  • by Anonymous Coward on 2013年01月29日 19時18分 (#2315193)

    こういう風に誰が何やってもトラブルは起きるので、専門外の人を教育するだけでは無理でしょう。
    専任を置いて、ツールでの縛りもキツくしないと、いつでもトラブルが起きてしまいます。

    • by haratake (365) on 2013年01月29日 20時19分 (#2315249)

      そういったCMSの中には、期限を指定した情報公開の仕組みがあり
      期日が来たら、情報が公開されるように設定することもできます。

      それをそのまま鵜呑みにすると、怖いですよ。

      表向き、テキストはうまく動いていても、
      画像とかPDFは、普通にファイルが置いてあるだけで、
      制限がかかってなかったりする場合もあるので、
      今回のようにURLを類推すれば見れちゃったりすることもありますよ。
      (XOOPSがどうなっているかは知りませんが)

      今回のは、情報管理の問題で、ウェブ管理者が試験前に試験問題(と解答例?)が出回っていること事態が問題。

      親コメント
    • by Anonymous Coward

      もしかしたら担当者は情報管理専任のだったかも知れないよ。

  • by Anonymous Coward on 2013年01月29日 19時24分 (#2315195)

    偽計業務妨害でとりあえず逮捕しちゃう?

  • by Anonymous Coward on 2013年01月29日 20時59分 (#2315285)

    ACCS不正アクセス事件とあんまり変わらない程度ですよね。
    意図しない不正アクセスとして、あっちが起訴とかはしないと思いますが・・・。
    こわいこわい。

  • by Anonymous Coward on 2013年01月29日 22時09分 (#2315327)

    該当スレの 674 の人のその後のカキコによると、冗談のつもりで書いた(自分もアクセスしてなかった)のが、本当に掲出されてた
    という話のようですね。(当人曰くですが。)

  • by Anonymous Coward on 2013年01月29日 23時45分 (#2315398)

    >「公開予定のファイルを事前に外部からアクセスできる状態に置く」という危険な運用はどうすれば防げるのだろうか。
    公開予定ですらないファイルを外部からアクセスできる状態に置いてたgithubのユーザーに比べたらたいしたことない

  • by Anonymous Coward on 2013年02月02日 7時08分 (#2317769)

    こんないい加減なことでいいの資格の信用度ゼロ。試験中止するべきだったんじゃない。

  • by Anonymous Coward on 2013年02月12日 17時32分 (#2323807)

    国家検定ファイナンシャル・プランニング技能検定試験の合格発表は3月7日に予定どおり行われます。|報道発表資料|厚生労働省
    http://www.mhlw.go.jp/stf/houdou/2r9852000002v29x.html [mhlw.go.jp]

    厚生労働省の報告書[PDF]が詳しい。

    おまけ
    [重要なお知らせ] 2013年1月27日実施のファイナンシャル・プランニング技能検定における試験問題漏洩に関するお詫びならびに同日試験のお取扱いについて |一般社団法人 金融財政事情研究会
    http://www.kinzai.or.jp/ginou/fp/detail/172 [kinzai.or.jp]

    日本FP協会|日本FP協会について|日本FP協会からのお知らせ|一般社団法人金融財政事情研究会におけるファイナンシャル・プランニング技能検定試験問題の漏洩に関するご報告
    http://www.jafp.or.jp/about/info/info_20130128.shtml#0212 [jafp.or.jp]

typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...