« 最終報告:東証システム障害を検証 | トップページ | プラネタリウム満天とMEGASTAR-II感想 »

2005.12.02

テニス愛好家にハッキングされた町田市のサーバ

偽銀行CDROMにスパイウェアを仕込んだ元プログラマーや、価格.comとか先日のワコールとか企業のサーバが不正侵入される事件が多発しSQLインジェクションとか話題になった2005年でしたが、そんな年の瀬に今度は町田市の施設予約システムが不正改ざんされたそうです。

12/1の時事通信で知ったのですが…
時事通信 施設の不正予約でシステム変更=東京都町田市
 パソコンや携帯電話などを使ってインターネットを通じテニスコートを予約できるシステムで不正があったため、プログラムを変更することを決めた。不正防止のため、今後、不正行為をした利用者の予約権を取り消すことなども検討する。同市が採用しているNTTデータ製のシステムは多くの自治体で使われており、同様の不正が広がる可能性があるという。

元記事(2005/11/21)
www.zakzak.co.jp/top/2005_11/t2005112209.html
www.kahoku.co.jp/news/2005/11/2005112101004983.htm

これもSQLインジェクションと並ぶ不正侵入な事件ですが、これってバグ技というか緩い設計を突かれたわけですよね。
WWWでブラウジングするとき、リンクの無い関連ページを探すためにURLをいろいろ試すってあるのですが、そういうので見つかって強い権限で例外処理をされちゃったってところでしょうか。
記事では「特殊な操作により普通は見られない画面を呼び出した」とありました。
外人クラッカーによる犯行とかではなく、テニスサークルの人がコートを欲しいためにデータを書き換え、しかも通常ではありえない予約の仕方だったのでバレた、というオチ。
動機も手口も発覚も何もかもが情けない感じのニュースですね(笑)。
しかも初犯ですぐ発覚せずに24件も変な予約をされたあとにやっと気付いたとか。

公的なネットサービスでも運動施設予約は一番アクセスがある人気コンテンツですからイタズラ防止は必要でしょう。予約なんて個々人の欲望のせめぎ合いですから。
システム設計者はそこら辺まで考えなかったのだろうなぁ…。
でも、期間外範囲チェックぐらいサーバでやりますよね普通。

外人ハッカーやプログラマーでなくテニス愛好家にハッキングされるシステムとは情けない、情けないですよ(笑)>NTTデータ
しかもzakzakにあるように、予約システムへのログインIDは正規のものだったから「不正アクセス禁止法違反に問えないのが現状、条例に罰則を設けるなどの改正を検討している」だそうで、
想定外な悪事だから罪に問えないっていったい…>町田市

|

« 最終報告:東証システム障害を検証 | トップページ | プラネタリウム満天とMEGASTAR-II感想 »

パソコン・インターネット」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/3180/7426750

この記事へのトラックバック一覧です: テニス愛好家にハッキングされた町田市のサーバ:

» 【サイバー犯罪事件簿】2005年12月1日-4日 [セキュリティ物置]
---------------------------- ■不正アクセス(国別分布) ---------------------------- ---------------------------- ■不正なアクセス(日本が送信元の攻撃) ---------------------------- 218.45.164.78?Japan?ASAHI-NET-CIDR-BLK-JP?i60-42-68-138.s02.a035.ap.p... [続きを読む]

受信: 2005.12.04 23:17

« 最終報告:東証システム障害を検証 | トップページ | プラネタリウム満天とMEGASTAR-II感想 »