FC2ブログ
プロフィール

おはちゅ

最近の記事

最近のコメント

最近のトラックバック

月別アーカイブ

カテゴリー

ブロとも申請フォーム

この人とブロともになる

09 | 2010/10 | 11
S M T W T F S
- - - - - 1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31 - - - - - -
ハロプロ感想と日記
(*゚▽゚)ノ国勢調査オンラインであそん・・・検証してみた
(*゚▽゚)ノ東京都民限定の国勢調査オンラインは、血税使ってフィッシング詐欺師に情報詐取のチャンスをやってるようなもんだ。

■問題:URLの正当性が確認できない。

オンライン入力のURLが総務省のHPから辿れない。1週間ほど前は辿れたのに、10/10現在はリンクが無くなっており「配布された資料にあるURLを手入力してください」とある。
フィッシング詐欺師は紛らわしいURLを用意して誘導する。おしまいが「go.jp」でも「co.jp」とクセで打ってしまう人もいる。最も確実な「総務省からのリンク」を用意しない時点で、フィッシング詐欺師のチャンスがどんと増える。

そもそも、配布された資料自体、偽装されている可能性がある。うちは、留守の間にポストに押し込まれていたから、調査員がもってきたかどうかも怪しい。調査対象者IDと確認コードもニセサイト用の可能性がある。

ならば、せめてSSLの証明書を確認したいが、肝心の拇印が確認できない。せめて拇印ぐらい総務省のHPに掲載しておけばいいのに。

となると正当性は「go.jpだからたぶんだいじょうぶだろう」程度のものだ。

■隣人になりすまして入力が可能

調査票は「調査区番号」「世帯番号」の組み合わせでユニークと思われる。
しかし、このユニークキーとインターネット回答用の「調査対象者ID」はリンクしていない。(配布した調査員もわからないため)
だから、私が「世帯番号」をちょっとずらせば、隣人になりすますことができる。例えば、隣の人を「ロシア生まれの大富豪」にすることも「明治生まれの須藤茉麻」にすることも可能だ。

以上から、こんないい加減なサイトに氏名、生年月日、国籍、学歴、職業、前住所、電話番号といったセンシティブな個人情報を、わざわざ正直にデータにして打ち込む気にもならない。紙提出に比べて一網打尽でもってかれる可能性もあるし。

総務省によれば、都民の人、7%強もネットで入力したらしいけど、それは「正しいサイト」で入力した人に限る。あなたの入力したサイトは、本当に正規のサイトですか?

というわけで、「提出はしない」と判断。
あとは、実際の情報は書かず、「試す目的」で、入力を進めてみることにした。
うそを書くと怒られるので、「送信」はしていない。
当然、タグ入力など脆弱性を試すような攻撃もしていない。

国勢調査入力内容(送信せず)

以下、気がついた点。

■Javascriptを使用している
入力チェックにJavascriptを使用している。信用できるサイトにしないとJavascriptを使えないようにしている人も多かろうに。

■確認コードを自分で再設定させる理由が不明なのと、英大文字、記号が使えない
自分で変更させるのだけども必要性が判らない。なんで変えさせるんだろう?
また、32文字の長さは問題ないと思うけど、変な制限をつけたのは何でだろう。
たった36種の文字だったら、ブルートフォースでひとたまりもないだろうに。

■調査区番号 世帯番号はデタラメでOK
身元をしられたくないのだから、デタラメをいれた。問題なく先に進めた。
先に述べたとおり、なりすまし可能である。

■国籍
「国名」はデタラメでOK。字数制限も無いようだ。

■教育
明治13年生まれでも「保育園・保育所」が選択できた。

■従業地又は通学地
明治13年生まれで杉並区在住なのに沖縄の石垣市まで毎日通勤する、という選択ができた。

■従業地又は通学地までの利用交通手段
石垣市まで徒歩を選択できた。

上記のように、論理的に不可能な起票もできてしまう。これは紙も同様なわけで、オンラインだからという問題ではない。ただ、せっかくオンラインにするなら論理的に不可能な入力をチェックする機能をつければいいのにと思った。
スポンサーサイト



【2010/10/10 14:38】 | 日記 | トラックバック(0) | コメント(2)
| ホーム |
フリーエリア

リンク

このブログをリンクに追加する

ブログ内検索

RSSフィード