無料セキュリティ対策に不安がある企業必見！「セキュリティ対策無料相談窓口」

2021年5月24日開設予定の、防衛省が運営する新型コロナウイルスワクチン大規模接種センターの予約サイトにおいて、セキュリティ上の欠陥により、要件を満たさない人でも予約ができてしまう事象が確認されました。

本来、予約サイトを利用するには、東京エリアの1都3県もしくは大阪エリアの2府1県の市区町村コードや自治体が接種対象者に発行する接種券番号が必要です。ところが、実際に公開された予約サイトでは市区町村コード「111111」、接種券番号「9999999999」など、適当な番号入力でも予約を受け付けてしまう事象が発生。

予約サイトは2021年5月17日に公開され、サーバーダウンを起こさずに大量予約を受け付けるなど順調な滑り出しを見せていましたが、悪意のある人物が利用した場合、1人でワクチン予約枠をすべて占領できてしまう状態である事実が判明しました。

サーバーダウンを回避するための設計か

予約サイトで判明したセキュリティ欠陥、原因はサーバーダウンを回避するための措置であると囁かれています。

ウェブサイトにとってシステム処理の複雑さは、アクセス集中やサイバー攻撃（DDoS攻撃）などと並んで、サーバーに負荷をかけるリスク要因です。新型コロナウイルスワクチンの予約サイトとなると、当然大量のアクセスが想定されるものであるため、あえてどんな番号の入力でも受け付けるシステム設計にすることで、サーバーへの負荷を回避したものと見られています。

参照【独自】「誰でも何度でも予約可能」ワクチン大規模接種東京センターの予約システムに重大欠陥