厚労省の「メールでWordファイルを送る」形での意見募集に対し標的型攻撃の可能性があるとの指摘 89
ストーリー by hylom
システム構築コストがかからないというメリットはあるものの 部門より
システム構築コストがかからないというメリットはあるものの 部門より
厚生労働省が「保育制度全般の改善について あなたの声を お聞かせください」という意見募集を行っている。表題のとおり、保育制度全般の改善について一般から意見を求めるものだが、送信の際は公開されているWord形式ドキュメントに意見や必要事項を記入してメールで送るという形になっている。これに対し、「入力も手間ながら集計する担当者は大変だし標的型攻撃の餌食だろと思うのだが」といった意見が出ている。
そもそもPCやWordがないと送信できないという問題もあるのだが、どのような形式が望ましいのだろうか。
PCやWord (スコア:3)
>そもそもPCやWordがないと送信できないという問題
スマホやタブレットじゃないできないんですか?
iPhone
iPad
Android スマートフォン
Android タブレット
Windows phone
なら無料のOfficeがありそうです。
https://products.office.com/ja-jp/mobile/office [office.com]
Re: (スコア:0)
ガラケーではもはや意見を述べる事も出来ないわけですかそうですか
Re: (スコア:0)
ガラケーではもはや意見を述べる事も出来ないわけですかそうですか
PCと書いてあるからタブレット・スマホでも可能という情報を出しただけでガラケーのことどうこう言ってないよね?
てか、FaxのみとかPC、タブレット、スマホのみとかいうのは、そこで窓口をあえて狭めているので本当に必要な人は自分でその狭まれたところに情報を投げる方法を見つけるはずです。
他人に頼むことも出来るし、
300円あればインターネットカフェ使えるのでどうぞ。
Re: (スコア:0)
本件について、なんで「あえて狭める」必要が?
Re:PCやWord (スコア:2)
事務コストかな
Re: (スコア:0)
> ガラケーではもはや意見を述べる事も出来ないわけですかそうですか
つっこむところはそこじゃないだろ
既存の投稿フォーム (スコア:2)
e-Govには、各省庁への意見提出フォームがある。
https://www.e-gov.go.jp/policy/servlet/Propose [e-gov.go.jp]
さらに、パブリックコメントのページには、案件ごとに意見提出フォームがある。
http://search.e-gov.go.jp/servlet/Public [e-gov.go.jp]
内閣府には、内閣府共通意見等登録システムとして意見提出フォームがある。
例:https://form.cao.go.jp/souki/opinion-0001.html
(http://www.cao.go.jp/goiken.html より)
参考まで。
印刷する前提の好意的解釈 (スコア:2)
一般職員が扱うだけなら、メール直書きなり投稿フォームなりでよかった。
職員のPCから閲覧なり処理なりできれば良いのだから。
しかし、実際には、幹部職員に見せたり、会議にかける予定があるのであった。
そのため、印刷する必要があり、そして、見栄えの良い資料を作る作業を簡略化するために、Wordファイルで意見募集することにしたのだ。
とか。
手段や形式が限定されている場合 (スコア:1)
>そもそもPCやWordがないと送信できないという問題もあるのだが、どのような形式が望ましいのだろうか。
広く意見をを集めるとこなせないので、まず入り口で絞るのも一つの手段じゃないすかね。
ほんとに広く意見を集めたいなら、電話FAX手紙textその他なんでもありにすればいいけど
そうすると人員も時間も金も足りなくなるのは目に見えてるし。
よくあるブラウザ経由のご意見受付っぽく、メールアドレスを含んだある程度の個人情報を登録させた上で書き込めるFORM置いとけばいいんじゃないすかね。
あとは手紙とFAXの送り先を並べておけばOK.
それを全部読むかどうするのかはおまかせで。
Re: (スコア:0)
いや、ワードなんかを使うことで、むしろ人員の時間も金も無駄になってるのでは、ということ。
メールかウェブフォームでいいんじゃないかな。
Re:手段や形式が限定されている場合 (スコア:2)
人間が一つずつワードファイル開くと確かに手間だが、プログラムで機械的に集計すれば、
ウェブフォームで登録させたのとほとんど同じなんじゃない?
Re: (スコア:0)
いや、ワードなんかを使うことで、むしろ人員の時間も金も無駄になってるのでは、ということ。
メールかウェブフォームでいいんじゃないかな。
どのへんで?
Re: (スコア:0)
選択項目を使って統計を取ろうと思ったら、人力でDBに入力しないといけないでしょ。
Wordファイルだと、行や列を増やしたり選択肢を追加したりする人も出てくるだろうし。
逆に標的型攻撃は、Wordファイルで届く事が分かってるんだから、対策の取りようは
いくらでもあるんじゃないかな。
doc拡張子以外は弾いて、添付ファイルのマクロを削除するメール無害化システムを
導入して、念のため受信環境は隔離ネットワークにしておけば良さそう。
Re: (スコア:0)
ただのWordドキュメントでは集計するのに手作業になっちまうだろ。
ガッチリとマクロを組み込んだdocxに対して
日本政府認証基板のコードサイニング証明書で署名しておけばいいかもしれないけど
そこまでやるとは思えない。
Re:手段や形式が限定されている場合 (スコア:1)
>ただのWordドキュメントでは集計するのに手作業になっちまうだろ。
>ガッチリとマクロを組み込んだdocxに対して
こういうのや、元原稿を改変できないようにlockするとか、せめてそれくらいはやるんだろうと思い込んでた。
Re: (スコア:0)
話題となってるワードファイルはここからダウンロードできる [mhlw.go.jp]のだから、実際にダウンロードして調べりゃいいじゃん。
なんの工夫もしてないっぽいです。
Re:手段や形式が限定されている場合 (スコア:2)
総編集時間が05:26:00 (326 分)って…
Re:手段や形式が限定されている場合 (スコア:1)
上司「あのワードの書類を作ってくれ」
部下「はい、やります」新規書類作成っと
上司「ところでアレどうなった?」
部下「あ、あれは、その、業者が・・・」
約6時間後
上司「あのワード書類はできたかね」
部下「あと10分でできます」
こんな情景を思い浮かべた。
Re: (スコア:0)
きっと担当の調査官が調査項目の素案を作り、上長に内容確認を求めたら上長がファイルを開いたまま会議に出かけて、会議から戻って来てから口頭で担当に修正指示を出したので、担当がファイルを修正し始めたら会議になり、会議後に修正したファイルを上長に提出したら、さらに修正指示があり、担当が・・・(以下、職場の規定「公的文書作成規範 第21章 63項 付則1.1.3 推敲基本指針」を満足し、大臣の認可が得られるまで繰り返し)・・・という業務上の理由によるものではないかと推察いたします。(・・・な訳ないよね)
Re:手段や形式が限定されている場合 (スコア:2)
コンテンツの作成日時: 2016/03/15 12:28
前回保存日時: 2016/03/22 9:49
前回印刷日: 2016/03/20 15:39
何となく時間が掛かった理由がわかった気がした。
Re: (スコア:0)
メールだとSJIS等で送ってくる糞クライアントやガラケーからの送信の可能性が排除できず、
それのサポートを考えるだけで手間だし、ウェブフォームでも結局そのサイトを作成せねば
ならず手間になる。
Re:手段や形式が限定されている場合 (スコア:1)
>メールだとSJIS等で送ってくる糞クライアントやガラケーからの送信の可能性が排除できず、
初見で読めない開けないのはゴミ箱でいいんじゃないすかね。
フリーフォーマットで受け付けるとしたら、マルウェア避けを十分考慮しないといけないのもしんどそう。
Re:手段や形式が限定されている場合 (スコア:1)
厚労省が国民からの意見募集で届いたメールを、読もうとする努力もせず破棄したら、大問題になるでしょ。
Re: (スコア:0)
Wellcom SPAM & DUST mail.
Re: (スコア:0)
SJISくらい読めるでしょ。なんなら文字コードを指定すればいいだけ。
電話や手書き文字認識に比べれば大した問題じゃない。
#反対するなら、もっとまともな反論してくれよ。。。
Re: (スコア:0)
本当に絞りたいなら一太郎形式にすべきだったな。
Word文書を吐けるフリーソフトやクラウドサービスなどいくらでもあるし、
ハードウェアプラットフォームもPCに限らずスマホやフィーチャーフォンだって使える。
Re:手段や形式が限定されている場合 (スコア:1)
最近は公官庁でも一太郎離れが進んでいるようで、
数年前、申請書のフォーマットに一太郎がなくなった時は
時代を感じましたよ。
あ、だから元から見る気がないってことか。
攻撃はともかく (スコア:0)
集計は提携書式なオートメーションでも行けるんじゃねぇの。
Re: (スコア:0)
ですよね。
普通なら機械的にDBにつっこんで、あとで一覧とか。
「入力も手間ながら集計する担当者は大変だし標的型攻撃の餌食だろと思うのだが」
といっている人は、一つ一つ手作業でファイルをWord使って開いていくイメージなんですかね。
Re:攻撃はともかく (スコア:1)
Re: (スコア:0)
「エラーが出たファイルは棄ててもいい」という運用でいいのかい?
そりゃ、「エラーが出るほどまでに改変されたファイルは『このファイルを編集して送ってね』という指示に反しているとも解釈出来る。
よって、そのような応募は無効である」っちゅうような厳密な解釈による屁理屈は成り立つだろうけどさ。
実運用でそれが許されるならどんだけ楽か…
Re: (スコア:0)
定形か。どこと提携するんだろと思ってしまったじゃないか。
Re: (スコア:0)
どうやって行うか勉強する時間があれば手を動かせ、というのが今の役所
今勉強しとけば後々まで役に立つと思うけど、どうせ2年で異動するのだから勉強は無駄、、と言わんばかりの催促をよくされる
担当者が夜遅くまでコピペするかもしれないけど、印刷したものをバイトさんに渡してExcelの表にまとめる可能性も十分考えられる
関係ないけど、プロパティにある担当者名は削除した方がいいよね
Re: (スコア:0)
大丈夫。集計しないから。
パブリックコメントなんてものは募集はするけどほとんど読まないし採用もしない。
一部の、期待する意見を見つけた時点で完了。
選挙前に国民のために考えてますよという態度をアピールしろという上からの指示で動いてるだけ。
Re:攻撃はともかく (スコア:1)
しょうがないね (スコア:0)
人にメールするのに、メールに直接書かずに.pdf化した上でメールに添付してくるような連中だもの。
Word形式ドキュメントを添付させることに、彼等が何の違和感も感じないのは当然。
むしろ「入力も手間ながら集計する担当者は大変だし標的型攻撃の餌食だろと思うのだが」などと、余計なことは言わない方が良い。
また何億もかけて、わけわからん業者にしょうもないサイト作らせた挙句。
国勢調査の時みたいに「使いやすい」とかいって、あちこちでステマされる方が迷惑。
Googleフォーム (スコア:0)
Googleフォーム [google.com]でいいんじゃないの?
Re:Googleフォーム (スコア:1)
Re:Googleフォーム (スコア:1)
Re:Googleフォーム (スコア:1)
Re: (スコア:0)
それだったらスラド国民投票ならぬ厚生省国民投票でいいんじゃあるまいか
Re: (スコア:0)
Googleに情報が流れていることに気づかないんですね
Word関係ない (スコア:0)
メールで質問を受け付けている時点で標的型攻撃の攻撃対象になる。
「Wordだから標的型攻撃にあう」というのは間違い。
Re:Word関係ない (スコア:2)
訪問を受け付けている時点で直接的攻撃の攻撃対象になる。
「メールだから標的攻撃にあう」というのは間違い。
#際限なさそう
Re: (スコア:0)
WEB入力フォームなら入力内容をサニタイズして無害化できるけど、
メール受け付けだとそういうわけにもいかないでしょ。
・・・いや、まず東京都だろ。 (スコア:0)
既にある保育所の管轄は厚生労働省だけど、保育所の不足は国ではなく自治体の問題だろ・・・。
普通に受け付けても「それは出来ません」って要望がわんさか来るから、
テンプレート記入型で「それなら出来る」という事柄に限定する必要があるからWord文書なんだよな?
学生寮の喧騒まで文科省に苦情が来るって話を聞いたことがあるけどさ・・・。
誠意をもって申し上げますが国としては地方創生をすすめてます、で良いんじゃないのかこんなのは。
Re:・・・いや、まず東京都だろ。 (スコア:1)
>誠意をもって申し上げますが国としては地方創生をすすめてます、で良いんじゃないのかこんなのは。
地方創生をすすめているだけはどうにもならないデッドロック状態なので、此の度「日本×ね」に至ったと思われ。
ぶっちゃけセキュリティとか集計とかどうでもいいけど… (スコア:0)
現実的には市販のウィルススキャナーでチェックしてればいいだけだと思う。集計だって別にテキストに落とすだけでいい。
セキュリティがどうしても心配ならメール受信してから隔離して集計すればいいだけだし。
でも「保育制度全般の改善について あなたの声を お聞かせください」に対して、形式が限定されすぎてるのはNG。気軽に自由な意見を募集する形じゃない。意図的に意見の絞り込みを狙うのは控えるべき。どうしてもスパムに困るなら個人情報を書く形式にしておけばいいだけ。
保育となると、シングルマザーで苦労しながら子育てしてる若い人もいるので、特に金銭面で入口を減らすような真似は控えるべき。
Re:行政によくある”様式”というやつですな。 (スコア:1)
過剰すぎるとは思うこともあるけど、そういうのって提出者と窓口担当の
記入、確認、入力漏れを減らす為にそうなってるもんじゃないの。
様式に従わない記入事項だけ羅列したものを窓口が受け取ってくれたとして、
何か問題が発生すると、そういう対策を取っていないと文句を言う人も居るだろうし
しょうがないんでないのかな。
Re:行政によくある”様式”というやつですな。 (スコア:1)
#2986180 の窓口業務の様式がってコメントに関して書いたので、
このストーリーのWordファイル云々に関して書いたんじゃないんだ。
勘違いさせて申し訳ない、窓口業務に関してって書いておくべきだった。
ちなみに、このストーリーにかんしてなら、
ワード形式が危ないんでないかって言われているのは解るが
セキュリティとかきっちりしてて、正しく集計されるなら
ワード形式でもテキスト形式でも画像だって何だって良いよ。
# 集計する側の手間は考えてないよ
# 楽に集計する方法がないのにワード形式にしたとは思いたくないし