　防衛省の大規模接種センターの予約システムで不備が見つかった。

　これをマスコミが検証のため不備を確認し、即時報道した。

　防衛大臣は、怒り心頭で、抗議文を送ったらしい。

　まぁ、どっちもどっちという感じである。

　不具合を、システムの所有者に改修する時間を与えずに公開することは、推奨されない。ハッカーや愉快犯による攻撃を誘発するからである。

　某氏のブログに有るように、いくらはらわたが煮えくり返るほど悔しくとも、システムの不備を見つけてもらったことに謝意を示し、できれば、直接報告して、一般に報道する前に、改修する時間を与えて欲しかったと遺憾の意を示すのが大人の対応ではないだろうか。

　あわてて構築したシステムのテストや要件定義が不十分で、瑕疵があるのはシステムの所有者や開発者に責任がある。

　ユーザーがシステムの不備を見つけた場合の標準手順として、システムの管理者に不具合を報告し、公開は不具合が解消されてからという暗黙の了解がある。

　システムの所有者が不具合の報告を故意に無視したり、不具合の解消が長期間放置された場合、例外的に公開する場合もある。

　昔は、色々問題があって、ウイルスの感染や不具合の報告を無視したり、ひどい場合にはハッカーの攻撃だと警察に届けて、善意の報告者や、悪意のないユーザーが、冤罪で逮捕された例がある。

　岡崎図書館事件は有名な例である。（検索してみると色々出てくる）

　jpcert/ccという組織がある。

　ここに、ウイルスの感染の疑いや脆弱性や不具合、情報漏えいなどを報告すると、報告者と、システムの所有者の間に入って、不具合の解消の仲介をやってもらえる。

　この仕組みで解消された不具合は、jpcertのWebで公開されている。

　JPCERTコーディネーションセンタ

　www.jpcert.or.jp/

　私は不具合や脆弱性を見つけた場合、システムの所有者に連絡すると同時にjpcertに報告する。またシステムの所有者には、jpcertに報告したことを通告する。

　システム所有者の連絡先が不明の場合は、jpcertに報告すると、jpcertが探して、警告、仲介してもらえる場合もある。

　今まで、いくつかの不具合を見つけて、jpcert経由で解決された経験がある。

　某国の情報システムがコンピュータウイルスに感染しているのを見つけたときは、某国の在日本某国大使館に直截電話をして報告したら、しばらくして、ウイルスが除去された。（電話は日本人の職員が対応してくれた）　某国には「貸し」がある(^_^)

　最近も、某省のWebに軽微な不具合を見つけたので、報告したところ、迅速に修正してもらえた。（公開するほど重要な不具合ではない）

　注意が必要なものとして、ID、パスワードを持つログインシステムである。

　アクセス権がない人間がログインを試行を行うことは違法である。

　たとえ善意であっても、刑法上の不正アクセスとみなされるので、絶対に試してはいけない。（法律の条文がそうなっていて、免責条項や例外条項がない）

ハートをクリックで、簡単に応援の気持ちを伝えられます。（ログインが必要です）

新規登録で充実の読書を

マイページ: 読書の状況から作品を自動で分類して簡単に管理できる; 小説の未読話数がひと目でわかり前回の続きから読める; フォローしたユーザーの活動を追える
通知: 小説の更新や作者の新作の情報を受け取れる
閲覧履歴: 以前読んだ小説が一覧で見つけやすい