読者です 読者をやめる 読者になる 読者になる

遠隔操作|台湾ワクチン貯蔵庫

中国の脆弱性公開サイト/ポータルにWOOYUN(烏雲)という、ホワイトハッカー・コミュニティが運営している有名なサイトがありますが、その他にベンダが運営しているものもあり、例えばセキュリティ会社360のBUTIAN(補天)があります。

 

そこで昨日、台湾衛生署(省庁再編後の衛生福利部だとおもわれます)所管である、ワクチン貯蔵庫管理システムのUIが外部からアクセス・操作可能という脆弱性が届け出られました。

f:id:alienware:20160325144335p:plain


詳細情報はまだ360社しか持ってない模様ですが、もし本当だとしたら当事者である管理部局は速やかかつ確実に情報を入手し、システムを修正されたほうがいいでしょう。

 

特にここ数日では、
・中国で大がかりなワクチン違法販売が発覚し、ワクチンの保管規定などを全く無視した状態で流通使用され大きな社会不安に

 

に加え、
・台湾でまもなく政権交代になるが、野党国会議員がセキュリティ担当機関行政法人設立正当性を問責

とこの問題は社会・政治にも衝撃を与えてしまうでしょう。

 

たかが脆弱性、されど脆弱性。システム設計に利便性を求めるのは結構なことですが、侵入探索者ありきの前提、でしっかりつくりましょう。

 

※追記

「脆弱性公開サイト」と書くと悪いイメージを持たれそうですが、「善意のもと」の脆弱性届出告知だと私は考えます。日本のように不正アクセス禁止法などの法律が完備され、ベンダー方々が脆弱性に対しての意識も高い環境と違い、中国ではまだまだ 情報化>セキュリティ のところが多く、既に流通しているベンダーの脆弱な製品・システムを直すにはこのような、ハッカーコミュニテイなどの「圧力団体」による、公開プレッシャーを与える必要があるのではないかと思います。

もしこれら圧力団体から「貴社のシステム/製品の脆弱性見つけたよ」と連絡を受けましたら、彼らの活動を理解し、これを機に脆弱性を修正し・より良いシステム/製品に仕上げるといいのではないでしょうか。