これはしょうがない。緊急時なのだし（情報漏洩が起きるわけでない限り）このままいくしかない。ただ、こういう事実があることは周知されていた方がよい。
dot.asahi.com/dot/2021051700…

識別符号（アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号≒パスワード）がないので、不正アクセス禁止法が禁ずる行為には当たらないが、虚偽内容で予約するのは、人の事務処理を誤らせる目的で行えば電磁的記録不正作出・供用罪。

不正アクセス禁止法違反行為の場合は、新聞報道であろうとも事実確認のため他人のパスワードでログインした時点で罪を構成する（かつての遠隔操作事件での書類送検事案あり）が、電磁的記録不正作出供用罪の場合は、キャンセルしたならば、人の事務処理を誤らせる目的があったことにはならないだろう。

予約のある人なのかはどうせ現場で目視確認するのだから、入力ミスによる予約であることはどうにか判断できそう（いや、確実に確認しないで進めちゃっていいだろう）か。こういうことが起き得るシステムだということは周知されていた方がよい。

接種券と予約方式の設計を1年前からやっておくべきだったということでしょうね。

出鱈目。個人情報保護法制の公的部門のルール（地方公共団体の条例を含む）は、目的内の提供を制限していない。

接種券番号・生年月日リストを得て確認しようにも、生年月日空間が1万通り程度しかないので、（ドコモ口座事件で検討したように）リバースブルートフォースで当てられてしまう。それを十分に防ぐには接種券番号をスパースにしないといけなくて、ランダム生成で20桁ほど必要。

マイナンバーを使っても防げない（マイナンバーカードによるログインなら防げるが、全員が利用できるわけではないので採用できない）。それどころか、生年月日とマイナンバーの組を特定する機能として働いてしまい（去年のドコモ口座事件を見よ）重大な情報漏えいが発生する。

逆に言えば、今回のシステムは、何らの事前チェックを行わないことから、そこからの情報漏えい（ドコモ口座事件で露呈した、ゆうちょ銀行のシステムが、認証機能自体が登録情報の漏えいを引き起こしたように）が発生しないシステムになっているとも言える。

ただし、この問題（「生年月日の空間が1万通り程度なので4桁暗証番号問題…」）があるため、正規に予約した人の予約状況が、ロックをかけたとしてもリバースブルートフォース攻撃によって、1万分の1程度の割合で閲覧されてしまう。ロックがなければ、全て閲覧され得る。

もっとも、閲覧されても問題ないレベルとも言い得る。ただし、本人が接種券番号を公開したりすると、生年月日を特定される（とともに、接種予約の状況を知られる）ことにはなり得る。

漏えいの観点では、最悪ケースの想定として、攻撃者により、全ての接種券番号についてのこの画面の情報と生年月日の組みがリスト化され、暴露されたとして、それがどうなんだ？ということになる。

入力させないというのは生年月日をという話？究極的にはそうだけど、さすがに接種券番号（スパースでないシリアル番号）だけで登録・閲覧・キャンセルというのは、アレすぎる。生年月日がなんちゃって「認証」っぽく振舞っているのが誤解を与えてよくないというのはそうだが。

最初の記事が「予約枠だけ占拠して、当日誰も行かなければ、大量のワクチンがムダに…まさにワクチンテロが出来てしまいます」と言うように、業務妨害の観点では、①予約枠の占拠の他に②接種券番号の先取り占拠の妨害があり得る。いずれも電磁的記録不正作出・供用罪および偽計業務妨害で取り締まる。

「善意に頼った」もなにもごく普通。不正申請を刑罰により抑制することで成立しているシステムはいくらでもある。（ただし漏えいが起きる場合はそれでは済まされない。）
特にパンデミックという緊急時においてならなおさら。

妨害発生時の運用は準備しておかねばならない。①の妨害については、状況を見て予約枠を増やす調整をすればいい。完全に規定通りの人数にワクチン投与する必要性はなく、1日に可能な範囲で投与すればいいし、あぶれた人に後日お願いすることもやむを得ない。

妨害の分類を修正（3つ目を追加）
①予約枠の占拠
②接種券番号の先取り占拠
③正規予約の不正キャンセル

③の妨害については、そいうことが起き得る旨を会場の受付が理解し、キャンセルされた（又は（接種券番号入力を間違えたか）登録のない）来場者について、そのままワクチン投与すればよい。

厄介なのは②の妨害。それが起きるシステムである旨を広く周知し苦情を受け付けて対処するしかない。大量に発生している場合は可能な範囲で検知してリセットするが、分散緩行型で来ると判別できない（がreCAPTCHAは設置されている）が、その時はその時。その事態の発生自体は苦情等から把握する必要。

外国からの妨害型サイバー攻撃に対しては、知らんふりする（何ら堪えていないようにみせる）ことも防衛として重要。

こんな仕様、誰にでもすぐわかるのに、隠す意味などない。この人でもそんなことがわからないの？

出鱈目。基本的にIPAの脆弱性届出制度は、DoSを問題にしていない（迷いつつ受け付けてはいる）。なぜなら、サービスが機能しなくなることは当該サービス提供者の自業自得であって、情報漏えいの脆弱性など国民に被害が及ぶものについて届出を受け付けるとしているものだから。

見つけたら報告が義務なわけではない。自身で運営元に通報するだけでも構わない（この制度は発見者が運営者より一般に弱者であることに鑑みて仲介するもの）（製品でなくWebの方の場合）し、直ちに事実を周知することの方が有益と考える場合には自己の責任でやってよいもの。

今回の報道が行なった検証行為は、「本来のワクチン接種を希望する65歳以上の方の接種機会を奪」うものには至っておらず、用いられた手段も適法なもの。上記のように、本件システムがこのような仕様となっている事実が、運営の現場と利用する国民に広く周知されることが必要。

現場の士気をいう点では、元記事の「防衛省関係者」の行動をどうにかされたた方がよろしいでしょう。
dot.asahi.com/dot/2021051700…
「…直後、「ワクチン予約に大変な欠陥が見つかった。システムのセキュリティが機能していない」（防衛省関係者）という情報が飛び込んできた」

この仕様を現場に周知しなければ、実際に不正キャンセルや誤入力での誤登録が起きているときに、「あなたは予約されていません。コンピュータは正確です。間違いありません。」と追い返すことになってしまうし、国民に周知されていなければ、それに反論することもできない。

この主張は矛盾している。現にシステムがmrso.jpにある（.go.jpでなく）通り、data controllerは防衛省でなく当該民間業者となっており、それで良いのであれば、「全市長区町村が管理する接種券番号…を把握し…照合」は民間がすること。

逆に「全国民の個人情報を防衛省が把握する事は適切でない」を言うのであれば、防衛省が運営者だということであり、防衛省がdata controllerとなって、.go.jp下で運用しなければならない。

また、「全市長区町村が管理する接種券番号を含む個人情報（引用時注：生年月日）を予め防衛省が把握し、予約番号と照合する」することも（目的内の利用である限り）問題がないと言うべきである。（政治的にそう言えないというのはあり得るが、乗り越えなければならない、）

もっとも、前記のとおり、生年月日を把握しても、安全にはならない。接種券番号の生成方法からしてやり直さないと無理。

ばかをいえ。いつもの平時からの啓蒙の段階ではない。これは有事だ。平時の啓蒙では、将来に良くない設計・実装が広がらないよう防止していくことが求められるが、パンデミック有事の今必要とされていることは、とにかくワクチンを投与するというゴールを実現する運用だろう。

ハア？「罵倒」というのは君自身の頭の中にあるものではないのかね？

同旨

なお、こっちは平時の予防。
togetter.com/li/1714221

出鱈目が10個くらいある。
agora-web.jp/archives/20515…