パスワードを忘れた? アカウント作成
15219282 story
バグ

佐賀市の公式サイトでマイナンバーカードなどの画像が見られる状態に 59

ストーリー by nagazou
閲覧可能 部門より
佐賀市の公式サイトで、マイナンバーカードや運転免許証などの個人情報が閲覧可能になっていたことが分かった(佐賀市リリースNHK)。

同市のお問い合わせのメール送信フォームから送信された添付画像に関して、特定のURLを直接入力することにより第三者が閲覧できる状態となっていたという。同市は外部からの指摘で状況を把握したとしている。3月1日時点では被害は確認されていないとしている。

閲覧できる状態となっていた画像データは986件。そのうちマイナンバーカード・同通知カード、運転免許証、パスポート、申請書等の個人情報を含む画像データが123件。報告写真等の個人情報を含まない画像データは863件だという。

2019年に市の公式サイトを改修したときに、メール送信フォームに画像添付機能を追加した。この画像データはファイル名がランダムに付けられ、メール本文とともに各課に送信される。メール送信履歴は、第三者が閲覧できないようアクセス制限を設定していたものの、画像データにはアクセス制限が適切に設定されていなかったとのこと。
  • 個人情報の漏洩元が漏洩による被害を確認できないって、確認する能力が無いだけでは。

    --

    ψアレゲな事を真面目にやることこそアレゲだと思う。
    ここに返信
    • by Anonymous Coward

      そんなの被害者が連絡でもしてこなきゃ、わかりっこないんじゃね
      取材した方だってそういう報告があったかどうかを尋ねてるだけだと思う

    • by Anonymous Coward

      このぐらいの調査ができるのならhttpdのログぐらい読めると思うけど。載ってないなら漏れてないのでしょう。

      • by Anonymous Coward on 2021年03月03日 11時21分 (#3987591)
        佐賀市のリリースによると、3つのIPアドレスからのアクセスがあったが、これらは情報提供者によるものと判明しているとのこと。
      • by Anonymous Coward

        こんな管理のこと、果たしてログどれくらいの期間残しているのかなあ

    • by Anonymous Coward

      認識しつつ放置していたわけではない、と言ってるだけでは。

    • by Anonymous Coward

      「現時点ではシステムの不備による被害は確認されていない」ってのは、個人情報の悪用による被害があったかどうかってことでしょ。
      それは確認能力どうこうじゃないと思う。

  • by nemui4 (20313) on 2021年03月03日 9時27分 (#3987486) 日記

    既に中国にだだ漏れてるそうなので今更そこでお漏らししても大丈夫ですね。
    https://www.jiji.com/jc/article?k=2021021700936&g=pol [jiji.com]

    ここに返信
  • by Anonymous Coward on 2021年03月03日 8時35分 (#3987463)

    何の問い合わせしたらそれが必要になるんだろう

    ここに返信
    • by Anonymous Coward on 2021年03月03日 8時57分 (#3987474)

      市側から要求したと言うよりは、問い合わせ者が「問い合わせの参考になるだろう」と勝手に思い立ってアップロードしたものだろう。
      閲覧可能だったのは問題だけど、そんなヤバめのものをいとも簡単にアップロードする問い合わせ者のリテラシーが問題。

      • by Anonymous Coward

        これにオフトピのマイナスモデレートした奴、誰だよ。
        結構重要なこと付いてる気がするぞ。
        すば洞はあっても、オフトピはないわ。

        「電子提言箱」、「各課へのお問い合わせ」のメール送信フォームに個人情報を含む画像データをアップするのは、普通にリテラシー低いだろ。
        それが123件もあったというのは驚きだ。
        市側が要求するとは思えないけどな。

        • by Anonymous Coward

          てか役所の手続きで身分証明書のコピーを郵送で送るのと変わらないよねこれ

        • by Anonymous Coward
          私もマイナスモデはやりすぎで、おっしゃることはもっともだと思います。
          123件の内訳は、「マイナンバーカード4件・同通知カード2件、運転免許証2件、パスポート2件、申請書等113件」だそうです。
          ほとんどが申請書等ということで、申請書の書き方等の問い合わせで、名前や住所が書かれた画像を添付してしまったのでしょう。リテラシー低いと言えばその通りですが、やっちゃう人はいそうに思えます。
          免許証は住所が文字数の都合で省略されたりしてるので、住民票と違うけどいいのかとか、申請書に書く住所はどうすればいいとか、まぁいろいろと想像はできます。
          いずれにせよ、市側が要求するとは思えないというのは同感です。
        • by Anonymous Coward

          勤務先が運営している有料サービスだと添付ファイル欄は無いので画像が来ることはありませんが
          クレジットカードの番号、有効期限、セキュリティコードやマイナンバーが来ることなんて日常茶飯事です
          それどころか、過去に数件申込時や支払方法変更時にで免許証やクレジットカードの「現物」を送付してこられる方がいらっしゃいます

          クレジットカード現物を送付した方に架電したところ「書き方が判らなかったので原本を送った方が早いと思った」と回答されたと聞いた時は絶句したものです

          「猫を電子レンジに入れない」では無いですが想像を絶するレベルのリテラシーの方もいらっしゃるんですよね

    • by Anonymous Coward on 2021年03月03日 11時06分 (#3987572)

      身分証明書とは禁治産・準禁治産、成年後見の有無、破産の有無を証明するものです。
      今回漏洩した書類は正しくは本人確認確認書類といいます。
      めんどくさくてごめんね!

  • by Anonymous Coward on 2021年03月03日 8時49分 (#3987469)

    口さがないな

    ここに返信
  • マイナンバーカードに新しい機能をあれこれ付加しようと画策しているようだが、現時点でさえこのザマ。
    これで国民健康保険や免許証の代わりに使えるようになったら、一体どれほどの騒ぎが起きるのだろう。

    ここに返信
    • by Anonymous Coward

      マイナンバーが発明される遥か昔から、「このレベルの人間」が個人情報を大量に扱ってるんですよ
      今更心配することじゃないです

    • by Anonymous Coward

      古い不正が減って新しい不正が増えるだけで、全体では何も変わってないのだから、心配しなくていいよ

    • by Anonymous Coward

      マイナンバーが漏れることで起きる実害ってどういう事例があるんでしょうか?
      住所氏名は想像しやすいんですが、マイナンバーが漏れることで起きるケースが想像しづらくて。
      マイナンバーカードを偽造されて本人確認に使われてしまうとかですかね?
      煽りとかじゃなくて解説してもらえると嬉しいです。

      • マイナンバーが流出したらマイナンバーの変更が必要になる。この手続きが実害。

        すでに届けてる銀行、会社、その他もろもろ全部に変更手続きが必要になる。クレカ紛失したときどころじゃない面倒さ

      • by Anonymous Coward

        マイナンバーなんて危険危険!
        とか煽って変な法律で公開縛って
        法律違反したから危険危険!
        みたいなとこあるよねぇ

      • by Anonymous Coward

        マイナンバーカード⚪︎×クイズ
        https://mynumbercard.point.soumu.go.jp/flow/mnp-get/security_quiz/ [soumu.go.jp]

        「うら面のマイナンバーカードを他人に見られたら他人に悪用される?」

        → 答えはバツ。
        「マイナンバーを見られても、他人はあなたになりすまして手続することはできません。(中略)悪用は困難です。」

        これが総務省の公式見解です。

        • by Anonymous Coward

          危惧されてる悪用はなりすましじゃ無いんだけどなぁ。
          # 新型コロナワクチンの副作用でアナフィラキシーばっかり強調されて問題ない問題ないと連呼されてるのと同じような欺瞞を感じる。

          • by Anonymous Coward

            でもその悪用の例は出せませんと

          • by Anonymous Coward

            だからどういう悪用が起こり得るのか書けよ

    • by Anonymous Coward
      • マイナンバー
      • マイナンバーカードの券面情報
      • マイナンバーカードの電子証明書

      を全く区別できてない辺り、コメ主も「このレベルの人間」の一人という皮肉
      やっぱり日本人にマイナンバー制度は早すぎたんだなと

    • by Anonymous Coward

      正直、ナンバーが漏れた程度で問題になるシステム・制度の設計が
      おかしいような気がするんだよなあ。秘密を守るために暗号化
      アルゴリズムを秘密にするみたいなおかしさを感じる。

      • by Anonymous Coward

        元々は民間企業が番号を収集して個人追跡IDに使用されてしまうのを避けたかったのだろう
        ただそのためにあまり厳しく前宣伝したおかげで、羹に懲りて膾を吹くみたいな事態になってしまった

        ネットで買い物をする程度のことにいちいちマイナンバーで会員登録、みたいな社会にならずに済んだところまでは
        上手くいったのだから、これから色々なサービスに対応させていく過程もうまく手綱をとってほしいもんだ

        • by Anonymous Coward

          マイナンバーに限らず1対1で結びついてれば個人追跡に使用されてしまうわな。

          マイナンバーは基本NO(不可視)とサブNO(可視)方式にして。
          サブNOは好きなだけ作成できるようにすれば良かったんだよ。
          スマホアプリとかでワンボタンでサブNOを発行できるようにするとかさ。
          発行元(政府など)では紐付けできるけど外では一切紐付けできなくなるし。

          • by Anonymous Coward

            すれば良かった、ではなく実際そうなっているのだが……

  • by Anonymous Coward on 2021年03月03日 9時25分 (#3987484)

    佐賀市に行こう!

    ここに返信
    • by Anonymous Coward

      佐賀市 「佐賀さないでください」

  • by Anonymous Coward on 2021年03月03日 10時12分 (#3987516)

    具体的なメリットってなんでしたっけ?

    ここに返信
    • by Anonymous Coward

      税金の取りはぐれが減る…んだっけ?(国側のメリット)

    • by Anonymous Coward
      国民一人一人にプッシュ型の情報伝達ができるようになる(かも)。
      たとえば、医療費や税控除の対象者だったとして、それを自覚してない人達に通知できる。
      その他にも、年金等の納付記録等が正確に管理できるようになるから漏れが減る。

      要は厳格に管理されると、救われる人がいる反面、それが不都合な人たちもいる。

      一般論で考えると、社会保障面での管理強化は、弱者に都合よく強者には不利益なことが多い
  • by Anonymous Coward on 2021年03月03日 10時29分 (#3987532)

    ド素人同様の業者に丸投げして作らせたんだろうけど
    何百万?何千万?円で作らせてキックバックいくらもらったんだって話だよな

    この程度のシステムにしてはおそらくかなりボッタクリ金額だろう
    役所担当者もウマー、業者もウマー

    市民の情報なんぞゴミ同様と思ってる奴らだからな

    ここに返信
    • by Anonymous Coward

      まあ田舎だから。
      玄関の鍵掛けなくていいレベルの人たちにそこまで求めてもね。

  • アップロードした画像をアップロード者が確認する機能をつけるサイトは多いが、
    こういった場合、
    ・アップロード者のIPと上位3オクテットが同じ
    ・アップロード者に発行したセッションクッキーを持ってる
    この2つの条件を満たした人にだけアクセス許可すればいい

    ただし、IPv6ユーザーは知らん

    ここに返信
typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...