システム運営の問題をマスコミに視線をそらすことで誤魔化そうとするな

菅義偉首相の肝いりで5月24日、東京都千代田区大手町に開設予定の新型コロナウイルスワクチン大規模接種センター。

　接種予約は17日午前11時の開始からわずか45分で2万1000件に達するなど順調な滑り出しだったが、システムには重大な“欠陥”があることがAERAdot.編集部の調べでわかった。予約対象者の65歳以上の高齢者ではなくても、誰でも、何度でも予約ができるのだ。セキュリティ設計は一体、どうなっているのか。

【独自】「誰でも何度でも予約可能」ワクチン大規模接種東京センターの予約システムに重大欠陥

この報道を受けて、政府与党方面（一人例外あり）から怒りの声が生まれ、防衛省からは抗議文が出されました。

自衛隊大規模接種センター予約の報道について。
今回、朝日新聞出版AERAドット及び毎日新聞の記者が不正な手段により予約を実施した行為は、本来のワクチン接種を希望する65歳以上の方の接種機会を奪い、貴重なワクチンそのものが無駄になりかねない極めて悪質な行為です。

— 岸 信夫 (@KishiNobuo) May 17, 2021

朝日、毎日は極めて悪質な妨害愉快犯と言える。
防衛省の抗議に両社がどう答えるか注目。 https://t.co/Q0ofuKioNQ

— 安倍晋三 (@AbeShinzo) May 18, 2021

ワクチンはコロナ禍収束のゲームチェンジャーであり、個々人にとっては命に係わる問題です。国難だからこそ自衛隊が大規模接種センターを運営します。突貫工事です。迅速にできるだけ多くの方への接種を実現することがミッションです。揚げ足を取るのが報道機関の仕事ではないでしょう。 https://t.co/UNmUkZIp4U

— 松川るい =自民党= (@Matsukawa_Rui) May 18, 2021

ワクチン大規模接種を巡り朝日•毎日記者が架空予約。記事にするための自作自演。毎日社長室広報担当は「確認作業は公益性が高いと判断。予約はすぐ取り消した」と理解不能のコメント。この行為と説明はアウト。責任を取るべきだと思う。

— 大塚耕平 (@kouhei1005mon) May 18, 2021

同報道について問われた河野大臣は、「一部の報道で、65歳以上でない方が面白半分に予約を取って、65歳以上の方の予約を邪魔している、それを誇っているかのような報道があったので、自衛隊から抗議が出されたと承知している。自衛隊のシステムに関しては、個人情報を持たないようにして予約を受け付けるシステム。ただ、対象の方がきちんと予約できるように、一部必要なシステムの改修は行われていると承知している」と説明。

「自衛隊から抗議が出されたと承知」 大規模接種の予約システム“欠陥”報道に河野大臣

ここで注目すべきは抗議理由です。「面白半分に予約を取って、65歳以上の方の予約を邪魔している、それを誇っているかのような報道があったので、自衛隊から抗議が出されたと承知」と河野大臣は言っているのですが、実際の抗議は「誇っているかのような報道」かどうかではなく、虚偽の予約をした行為自体に対する抗議のようです。
一応不正がこれ以上されないように見せしめるという意味はある気がするのですが、どうもそれ以上の意味を（勝手に）込められてしまいそうで、気になります。
（一部のTwitterでの反応では、知ったとしても報道するなと言うような反応があったわけで・・・）

このことについて岸信夫防衛大臣は18日朝、「今般の予約に関して、朝日新聞出版『AERA dot.』記者の方および毎日新聞記者の方から、“不正な手段によって予約が取れたが、どのように受け止めているのか”との問い合わせが防衛省にあった。

　本センターの予約システムにおいて、不正な手段よる虚偽予約を完全に防止するためには、市区町村が管理する接種券番号を含む個人情報を予め防衛省が把握し、入力される予約情報と照合する必要がある。このようなシステムを短期間で実現するには、国民の皆さんに迅速にワクチン接種を受けていただくという観点から困難であり、そして何より、予約システムを本センターで運営するにあたり、接種対象となる全国民の個人情報を防衛省が把握することは適切ではないと考え、採用しないこととした」と説明。

　その上で、「このような中で、今回の朝日新聞出版『AER Adot.』の記者の方、また毎日新聞の記者の方の行為は、ワクチン接種を希望する65歳以上の方の接種機会を奪い、ワクチンそのものが無駄になりかねない悪質な行為であり、極めて遺憾。防衛省としては、朝日新聞出版社および毎日新聞社に対して厳重に抗議する。

　改めて防衛省・自衛隊を代表し、国民の皆さんのお願いを申し上げたいと思う。今回のような不正な手段によってワクチン接種の予約を実施することは、接種を本当に希望する方々の機会を喪失し、貴重なワクチンそのものを無駄にしかねない悪質な行為であり、虚偽予約をしないでいただきたい。なお、今回の問題を受け、例えば市区町村コード等については真正な情報であることが確認できるよう対応可能な範囲でのシステム改修を実施する予定だ」と述べた。

「朝日新聞出版『AERA dot.』および毎日新聞の記者の悪質な行為であり、極めて遺憾。厳重に抗議する」大規模接種の予約システム報道めぐり岸防衛相

ちなみに、この岸防衛大臣の説明により、報道する前に、架空予約ができてしまっていることを報告しているのが確定しています。
報道の場合、コメント取りは記事のテンプレートなネタのためによほどの話でない場合すると思うので、当然だとは思うのですが。

防衛省は１８日、自衛隊による東京と大阪での新型コロナウイルスワクチンの大規模接種をめぐり、朝日新聞出版と毎日新聞の記者が架空の接種券番号などで虚偽の予約をしたとして両社に抗議文を送った

防衛省、「虚偽予約」の朝日新聞出版と毎日新聞に抗議文送付

ここで今回のAERA dot.と毎日新聞、そして今回の抗議から漏れた日経の報道を中心に今回の事象について見ていきたいと思います。

まずAERAは防衛省関係者の「システムのセキュリティが機能していない」というタレコミから始まって、それを検証したと言う流れで、今回の抗議された行為を行っています。

予約が始まった直後、「ワクチン予約に大変な欠陥が見つかった。システムのセキュリティが機能していない」（防衛省関係者）という情報が飛び込んできた。どういうことなのか？。

　AERAdot.編集部は裏付けを取るべく実際の予約システムで確認してみた。予約には地方自治体から送付された接種券を持っている必要があるとされていた。

AERAdot.

当然、対象以外の人は予約ができないと思いきや、「誰でも予約できる」（同前）というのだ。

　AERAdot.編集部で東京の予約サイトで試してみると、6桁の市区町村コードには「654321」、10桁の接種券番号には「9876543210」と適当に番号を入力。生年月日も「1956年1月1日」と適当に入力したところ、そのまま進めて、5月29日8時から予約が取れてしまった。

念のため、もう一度、予約をしてみた。市区町村コードは「555555」、接種券番号は「4444444444」、生年月日は「1954年1月1日」にした。こちらも5月30日16時30分からの枠を予約できた。6桁、10桁未満だとエラーが出たが、それを満たせば予約が取れるというセキュリティ上の“欠陥”があるのだ。（編集部で取った予約は現時点でキャンセルしている）

一方、毎日新聞と抗議されていない日経クロステックは、私が読んだ記事では情報源については触れていません。

東京23区と大阪市の住民を対象に17日始まった新型コロナウイルスワクチンの高齢者向け大規模集団接種のウェブ予約で、実際の接種券に記載されていない架空の数字を入力しても予約ができることを、毎日新聞記者が複数の数字で確認した。予約の対象は65歳以上だが、65歳未満となる生年月日を入力しても予約できることも確認。架空の数字を使って予約枠を「占拠」することもできるとみられ、予約システムの信頼性が問われそうだ。

（中略）

しかし、予約システムが正常に機能するかどうかを検証するため、記者が防衛省のウェブサイトから、架空の市区町村コードに加え、架空の接種券番号の10桁の数字を入力すると、手順が進んで接種会場と時間帯の指定ができ、予約が完了した。65歳未満となる生年月日を入力して予約できることも確認した。記者が試した予約はすでにキャンセルした。

　この方法で予約をしても、実際の接種券の番号と一致しないためにワクチン接種はできないとみられる。しかし、この方法で何枠も予約が取れるとみられ、実際に接種を希望する人が、望んだ日時に受けられない可能性もある。

大規模接種ウェブ予約　架空の数字で登録可　券番号も、年齢も

防衛省が2021年5月17日に開設した新型コロナウイルスワクチンの大規模接種会場向けの予約サイトが、「0000000000」といった架空の接種券番号で予約を受け付けることが分かった。加えて、何度でも予約できる状況になっている。防衛省は日経クロステックの問い合わせに対し「不具合かどうかを含めて状況を確認中」（報道室）としている。

　日経クロステックが実際に予約サイトで確認したところ、2つの番号とも実在しないとみられる番号と、かつ65歳未満の生年月日を入力しても、大半のケースで認証画面を通過し、会場や接種日を選択する画面に遷移した。例えば自治体番号は「000000」、接種券番号は「0000000000」、生年月日は年齢が対象外の51歳となる「1970年1月1日」で認証を通過し、予約まで完了した。幾つかのランダムな接種券番号を試したところ、認証時にエラーを返したのは「1234567890」だった。

　実在しない番号などで予約しても、実際に会場でワクチンを打てるのは自治体が配布した接種券を持参した人に限られる。このため予約サイトの構築において、認証・確認する情報を大幅に減らした可能性がある。ただ実在しない予約番号や同じ予約番号で何度も予約ができてしまう現在の状況は、空の予約でワクチンを無駄しかねない。

大規模接種予約サイトが架空番号でも予約可能に、対象期間外に予約できる不具合も

試した勢は、この後防衛省に取材しています。

日経の取材コメント部分はもう引用しましたので、AERAと毎日の防衛省取材部分を引用します。

前出の防衛省関係者がこう明かす。

「極論すると、悪意を持った人物が、乱数的に任意の番号を次々と入力し、全ての枠を占拠することすら出来てしまう、危機管理も何もあったものじゃない。杜撰な仕組みです。予約枠だけ占拠して、当日誰も行かなければ、大量のワクチンがムダになりかねない、まさにワクチンテロが出来てしまいます。初日の17日、システムダウンせずにスムーズに予約が取れた、と官邸も防衛省も自画自賛していますが、システム上、負荷のかからない空っぽのシステムであれば、ある意味、当然です。言うなれば、紙の予約簿に好き勝手に書き込むだけの仕組みと変わらない。対象地域に居住しているか、否か、さらには本当に実在する人物や接種券なのか否かも含め、全くノーチェックなのです。メルカリやヤフオクで枠の転売を始める人もいずれ出るかもしれません」

　防衛省にさっそく取材を申し込むと、以下の回答がきた。

「現在、担当部署に確認している」

AERAdot.

防衛省によると、今回の予約システムは、予約画面で、市区町村から配られた接種券にある「市区町村コード」と「接種券番号」以外の数字を打ち込んでも、そのまま予約を進めることが可能な仕様になっている。市区町村の予約システムと連結しておらず、接種券番号の情報を収集していないためだという。同省はシステム改修の可否を検討している。同省人事教育局の担当者は「入力する人の善意に頼ったシンプルな予約システム。いたずらで予約されては本来必要な人の予約が取れず、ワクチン接種ができなくなる。絶対にやめてほしい」と呼び掛けている。

毎日新聞

AERAは「現在、担当部署に確認している」、日経クロステックが「不具合かどうかを含めて状況を確認中」、毎日新聞が「システム改修の可否を検討」「入力する人の善意に頼ったシンプルな予約システム」という感じです。

岸防衛大臣が記者会見で抗議について話している際に「今般の予約に関して、朝日新聞出版『AERA dot.』記者の方および毎日新聞記者の方から、“不正な手段によって予約が取れたが、どのように受け止めているのか”との問い合わせが防衛省にあった」と述べているのですが、もしかすると、このコメント取り取材の時に、検証して通ったことを防衛省側に述べたのが、毎日新聞とAERAで、日経クロステックの取材は検証したことを取材時に防衛省側に言わなかったとかの差なのかもしれません。もしくは毎日新聞とAERAは取材時にはキャンセルしていなかった、とかぐらいでしょうか。（ほとんど根拠はありませんが。）

ちなみに、この不具合かどうかの状況確認やシステム改修の可否については、時事通信の報道に回答が書かれているように思います。（毎日新聞の「入力する人の善意に頼ったシンプルな予約システム」というのも回答のように思いますが）

岸信夫防衛相は１８日の記者会見で、国が運営する新型コロナウイルスワクチンの大規模接種の予約システムを一部改修すると表明した。虚偽情報による予約を防ぐのが目的。防衛省はシステム上の不備を事前に把握していたが、２４日の接種スタートを優先し、改修を見送っていた。

（中略）

防衛省はこうした不備を事前に知っていたが、「７月末までの高齢者接種完了」が至上命令となる中、動作チェックなどに時間をかけられないことから改修を見送ったという。同省幹部は「限られた時間の中での最適解だった」と説明した。

不備把握もスピード優先　防衛省、システム改修へ―大規模接種

当初の防衛省の回答「不具合かどうかを含めて状況を確認中」みたいな回答って、この「確認中」という言葉、確認中と言うことにして回答を拒否しつつ時間稼ぎをして、その後サイレント修正、もしくは黙ったまま黙殺するのが常なのではないか、というのは不信が過ぎるでしょうか？

更に、毎日新聞が人事教育局の担当者から得た「入力する人の善意に頼ったシンプルな予約システム。」というコメントも合わせれば、「それは仕様です」と改修しないと言う方向のままで終わる可能性が高かったように思います。
そこで、改修可能性がなく対策なしで放置されると判断し、改修や対策を促すために公表すると言う方向に動くのは、おかしくないのではないでしょうか。

CERT/CCを間に介するような形になった経緯にしても、報告を受けた開発側が握りつぶす判断を下すと利用者の不利益が解消されないし、かといって発見者が公表することにはリスクが伴うというジレンマの解決のためなはずで pic.twitter.com/X0qS8O0LQG

— V層もどき (@desuga_NlkL5EiN) May 18, 2021

見つけたら報告が義務なわけではない。自身で運営元に通報するだけでも構わない（この制度は発見者が運営者より一般に弱者であることに鑑みて仲介するもの）（製品でなくWebの方の場合）し、直ちに事実を周知することの方が有益と考える場合には自己の責任でやってよいもの。https://t.co/MuJqBYRjkS

— Hiromitsu Takagi (@HiromitsuTakagi) May 18, 2021

今回の報道が行なった検証行為は、「本来のワクチン接種を希望する65歳以上の方の接種機会を奪」うものには至っておらず、用いられた手段も適法なもの。上記のように、本件システムがこのような仕様となっている事実が、運営の現場と利用する国民に広く周知されることが必要。https://t.co/F0PuXWmgQX

— Hiromitsu Takagi (@HiromitsuTakagi) May 18, 2021

ちなみに高木浩光氏は「こんな仕様、誰にでもすぐわかるのに、隠す意味などない」と仕様解析の困難さも公表したことに対する評価に含めています。そもそも脆弱性と言えるレベルでもない、ということでしょう。

こんな仕様、誰にでもすぐわかるのに、隠す意味などない。この人でもそんなことがわからないの？https://t.co/aTihrOYAxB

— Hiromitsu Takagi (@HiromitsuTakagi) May 18, 2021

個人的には仕方ないものであるかのようにふるまうならば、そもそも自らある程度限界を公表して、しないように注意書きを付与するくらいのことはしても良かったと思うのですが。

そういう、自ら公表しなかったことが一番の理由で問題となってしまうという部分では、個人的にはワクチンの優先順位の話と一部共通する問題でもあるように思います。

このように「誰でもいいから打つ」ではなく「首長には優先されるべき理由があって打つんです」という説明を事後でしているからこそ、その説明をしなくてもいいと思ったことも含めた理由や判断が問われる事態になっているのだろうと思うのです。

行政の公平性や説明責任が有耶無耶になっていく

仕様ならば事前に自ら公表し、注意を促しておくべきですし、仕様でないなら期限厳守でそんな杜撰なシステムがしれっと公開されていることがおかしいことなのではないでしょうか？（仕様でなくとも、知ったタイミングで、自ら公表し注意を促したりするなどの、何らかの対策をするのは前提として。）

それを何も公表せず知らんぷりして、見つかったら、報告してきた人に抗議すると言う始末では、今後も何らかの改善をそこに見出すことはとても難しいのではないでしょうか。
（個人的には、これと同じことをこれまでもずーっと繰り返した結果が、今の官僚不信なりを生み出したのではないかと思ってしまうのですが）

官僚制批判の論理と心理　デモクラシーの友と敵税込814円(2021/05/19時点)