いろいろやってみるにっき

てきとーに生きている奴の日記

https化に伴い、表示できなくなっているリンクについて修復中。
2018年から遡って修正し、2015年分まで修正完了。


自衛隊東京大規模摂取センターの予約システム不具合について雑感

今回の件まさにコレ。なお大屋先生は法学者なので、法制度上防衛省自治体のシステム接続が現行法そのままではできないことを知っていてのツイート。  

批判対象と批判対象にしてはいけない部分は分けて考える必要がある。

 

自分では触ってみなかったのでどんな不具合があるのかを調べてみた。

 

文字起こししておく。文字を書き写すのが面倒なのでGoogle Driveに入れてGoogle Docsで開いた。

  • 番号&生年月日全部デタラメでも入力できる
  • 65歳未満の生年月日でも予約できる
  • それどころか未来の生年月日でも予約できる
  • なんなら2月31日生まれでも予約できる。
  • 選択肢のラジオボタンは選択できないダミー
  • メールなどで予約日時を確認できるわけではなくマイページで見るしかないが、クッキーを消すとマイページには入れなくなる
  • 同じ番号を入れて予約すると、先に予約していた人のは勝手にキャンセルにな
  • マイページで架空番号の予約合戦の様子が見られる

 

この予約システム、システムだけで完結するわけではなく接種会場における本人確認、接種券確認が行われることを前提に考えると、非難する奴のほうが分かってないという点もある。チェックしてみよう。

  • 番号&生年月日全部デタラメでも入力できる
    →この時点では非難に値しない、突合先が無い。
  • 65歳未満の生年月日でも予約できる
    →これはチェックアウトしたほうがいいけど、このあとワクチン接種の対象年齢が若年層に広がっていくことを前提とすれば非難するほどの事でもない。どうせ接種会場でハネられるし。
  • それどころか未来の生年月日でも予約できる
    →どの程度の乳幼児までを接種対象とするかはわからないけど、当日日付よりも先の生年月日は受け付けるべきではない。これは批判されるべきだが小さい問題。
  • なんなら2月31日生まれでも予約できる。
    →存在しない日付を受け付けるのはバカである。date関数使え。これは批判されるべき。
  • 選択肢のラジオボタンは選択できないダミー
    →現物見てないからわかんないけど、文字通りに受け取ればダメな作り。これは批判されるべき。
  • メールなどで予約日時を確認できるわけではなくマイページで見るしかないが、クッキーを消すとマイページには入れなくなる
    →まずメールやSMSに送る方が(照会を受け付ける頻度が下がるので)トラフィックを抑制できるわけだが、メールアドレスや携帯電話番号を保持したくなかったのかもしれない。とすると、必ずマイページには入れる必要がある。Cookieを消すとマイページに入れないというのがどのような条件で発生するのかによるが、マイページに入る手段を必ず確保する必要がある。これはモノによっては批判されるべき。
  • 同じ番号を入れて予約すると、先に予約していた人のは勝手にキャンセルになる
    →後勝ちの仕組みはよくある作り。間違ったり予約を変更したい人が入力した場合はこれで問題ない。問題はただキャンセルになるだけの場合(新規予約を入れられない)と、生年月日や他の特定情報とセットで管理されていない場合。
  • マイページで架空番号の予約合戦の様子が見られる
    →この表現ではちょっと意味が分からない。他者のものが見えるならNGで批判されるべき。

接種券番号については現状これ以上やりようがない。

 

date型については使われているのがLaravelだCakePHPだという話が出てきたので、ふつーあるよねと思ったら当然あった。

qiita.com

 

とまあこんな感じ。そもそもシステム以前の問題がある。接種券番号の発番方法である。

いい加減な番号でも通るってTVで見た時に真っ先にこれは思った。オレならもうちょっと細工して接種券番号が市区町村別になるようにすると思うけど。この手の細工ってチェックデジットもそうだけど、単純に連番じゃなくするとか、市区町村を示すコードを埋め込んでもその部分は一般人が見ても、家族などと突合せをしても分からないようにするとかである。時間が無くてできないかもしれないけど。

 

 事後諸葛亮という表現を発明した中国人は偉いw

そう。上に書いたように全体の業務と法制度を俯瞰する必要がある。 単に今の出来栄えだけで批判している奴は、やらせてみれば別のミスをするレベルの人間。

 

結局SQLインジェクションは5chで書かれただけで確認はされていない。

 

そもそもこの手不具合の話は日本だけではない。

 

まあマスコミには期待してませんが。

Killer virus vaccine? 😾

 

現場の意見はコレだろうな。

批判側、野党がこんなんだから政権取ってもまともに運営できないんだよ。 3~4年我慢すれば元通りって公務員に思われる。

 

 なお、自衛隊東京大規模摂取センター(東京センターの予約・受付案内には大きくこのように書かれている。

www.mod.go.jp

f:id:shigeo-t:20210519101738p:plain

足りないとすればこれだな。

 

この件でAERA毎日新聞擁護している奴らって、留守宅の玄関に鍵がかかってなければ大声で言いふらしてもいい、盗みに入っていいって考えなんだろうな。

 

先に書いたように不備は不備で対応してもらえるように通告、その上で詳細な手口は伏せての報道だったら問題にはならないけど。

 

 

まあ持続化給付金のように、今回色々予約システムにニセ予約を入れたヤツは後から追跡して検挙すればいいでしょ。