接種証明書アプリの通信データおもらしはデマ確定　各方面からフルボッコでツイート削除 [711292139]

カリスト(茸) **[TH]** · 2021/12/21(火) 14:29:38.11

　デジタル庁が12月20日に公開した「新型コロナワクチン接種証明書アプリ」で、通信内容のデータが見れてしまうというツイートが話題になった。投稿者は該当ツイートを削除しているが、同庁はツイートについて把握しており、触れられている内容については「問題ない」との認識を示した。

　投稿の内容は、同アプリの通信解析を試みたユーザーによる「アプリがサーバ証明書を確認せずに情報送信しているから、SSLインスペクション（暗号化通信の復号）で送受信データが読めてしまう」というもの。しかし、このツイートに対し「ピンニングをしていないだけでは」との指摘が相次いだ。

　ピンニングとは、特定の証明書のみに限定して通信するもので、一時期はセキュリティに対して効果があるとされていたが、近年では別のリスク面からピンニングしないケースも多いようだ。同アプリはピンニングせずに通信しているが、アプリの送信データ自体は暗号化されている。投稿者が送信内容を確認できたのは、自分自身の端末に対し、復号に必要な「ルート証明書」がインストールされているためだ。SNSでは、「ピンニングしていないほうが通信内容が検証できて透明性が高い」といった声も見られた。

　同庁は「ユーザーが自身の端末に対して、明確な意図を持ってルート証明書をインストールした上で、自分のアプリで自身の通信内容を見ているからできること。他人の通信でできるわけではない」とした他、ピンニングに対しても「Google Chromeなどもピンニングしておらず、セキュリティ要件として重要ではない」と説明している。

https://www.itmedia.co.jp/news/articles/2112/21/news085.html

エウロパ(東京都) **[ﾆﾀﾞ]** · 2021/12/22(水) 08:44:31.78

発信者特定して責任取ってもらわないとね

黒体放射(大阪府) **[US]** · 2021/12/22(水) 08:54:47.42

>>169
最初からわかってた話

黒体放射(SB-Android) **[US]** · 2021/12/22(水) 08:56:30.91

初めから暗号復号できる自分の端末だけでやってセキュリティに難有り！ってアホか
復号コード持ってるのに解読できなきゃただの文字列じゃん

ヘール・ボップ彗星(ジパング) **[JP]** · 2021/12/22(水) 10:08:44.02

あー、知ってた
ピンニングだろ？ちょっと忙しくて論破しに行けなかったけどピンニング知ってた知ってた
やっぱピンニングだったか

金星(茸) **[US]** · 2021/12/22(水) 10:13:59.18

>>2
おまえ頭悪そうだな

冥王星(光) **[ﾆﾀﾞ]** · 2021/12/22(水) 11:22:33.26

>>173
復号前のデータを解析したのではなくて自己の証明書で復号化されたデータを閲覧しただけなのか
見えるのは当たり前だよな

太陽(三重県) **[JP]** · 2021/12/22(水) 11:24:14.28

キムだから逮捕されないのか？

アンドロメダ銀河(東京都) **[US]** · 2021/12/22(水) 11:29:46.50

おサイフケータイ必要とか勘弁してほしい

ダークエネルギー(新潟県) **[US]** · 2021/12/22(水) 11:44:14.51

>>178
税金
年金
健康保険
お薬手帳
免許証
ワクチン

これからスマホで全部一括管理だぞ

金星(ジパング) **[PL]** · 2021/12/22(水) 12:02:38.66

関連スレでも暴れてる反ワクの知的障害クンは>>1のソースさえ読めない重度の知的障害なんだよな…

子持ち銀河(東京都) **[US]** · 2021/12/22(水) 12:21:34.78

>>137
？

高輝度青色変光星(埼玉県) **[ﾆﾀﾞ]** · 2021/12/22(水) 13:22:20.49

>>164
大丈夫だよ
登録した人、多分もう抜かれてるから
やるとしたら登録時だろうし

高輝度青色変光星(埼玉県) **[ﾆﾀﾞ]** · 2021/12/22(水) 13:23:49.18

あー
SS取ってお前らボコるの面白そうだな
なんか気づいちゃった
こっちのほうが向いてるわ疲れないし

金星(茸) **[ﾆﾀﾞ]** · 2021/12/22(水) 14:08:49.55

これ叩いてるヤツってルート認証局を信用できないから、端末からすべてのルート証明書を削除してるんだよな？ｗｗｗ

金星(大阪府) **[CN]** · 2021/12/22(水) 14:09:48.84

SNS界隈でニュー速のデマになってないならいいわ

高輝度青色変光星(埼玉県) **[ﾆﾀﾞ]** · 2021/12/22(水) 14:33:31.63

>>184
お前、場外ホームラン級のバカだな

高輝度青色変光星(埼玉県) **[ﾆﾀﾞ]** · 2021/12/22(水) 14:35:49.82

まぁ、これ認めると、イコール大規模流出確定なんで
そら認められんわな

なんでだろーワクチン打った人のマイナンバーが悪用される
なんでだろー
おかしーなー
で行くつもりなのかね　まぁ、それしかないと思うが

トラペジウム(ジパング) **[DE]** · 2021/12/22(水) 16:20:16.55

>>178
NFC-Bだからおサイフケータイ(NFC-F)は不要

かみのけ座銀河団(東京都) **[US]** · 2021/12/22(水) 16:29:01.99

>>187
どんな悪用されんの？

プロキオン(東京都) **[US]** · 2021/12/22(水) 17:46:43.17

>>188
typeBまじか
OPPOの一部スマホとか使えないな

かみのけ座銀河団(東京都) **[US]** · 2021/12/22(水) 19:04:15.88

>>182
マイナンバーカードの中は抜き出せないからｗ

白色矮星(東京都) **[DE]** · 2021/12/22(水) 19:31:49.06

こうしてネットは信頼を失ってゆくんだね
それはネット通販にもやがて波及し、それは二度と戻ることがなくなってゆく
時代は店舗販売だよ
むろん現金掛け値なし

高輝度青色変光星(埼玉県) **[ﾆﾀﾞ]** · 2021/12/22(水) 20:57:30.76

まぁ、バグは絶対潰す性分なんでな
お前らみたいな嘘つきダンゴムシ君も要するにバグだからな　
存在がバグ
こんなのに頼ってる内は、デジタル庁なんてまともになりゃしないよ
バグがソフト作ってんだから

シリウス(東京都) **[ﾆﾀﾞ]** · 2021/12/22(水) 21:05:44.64

>>126
中小企業にお勤めで？
他人の案件なんて仕様わかる方が怖いんだがw

高輝度青色変光星(埼玉県) **[ﾆﾀﾞ]** · 2021/12/22(水) 21:09:31.75

>>192
まーそもそもネットってそんなに信用できるものじゃないからな
メディアもだけど

そういう風に教育したからお前らがそう思い込んでるだけで
実際はあやふやな物だよ
まぁ、これは色んな経験を通して学ぶ訳だけど

経験の浅い若い人間にずっと洗脳し続けてるだけで
私たちは信頼のおける権威ある人間ですってね
深夜の通販みたいに色んな賞とか作って

太陽(東京都) **[ﾆﾀﾞ]** · 2021/12/22(水) 21:40:17.59

経験の結果→ ID:AN8gCwbH0

カノープス(奈良県) **[BR]** · 2021/12/23(木) 00:20:18.03

>>182
誰に抜かれてるの？

クェーサー(大阪府) **[US]** · 2021/12/23(木) 10:03:45.52

>>197
デリヘル嬢

エイベル2218(東京都) **[FR]** · 2021/12/23(木) 10:27:55.96

>>196
上昌広「経験の差」

ベガ(茸) **[HU]** · 2021/12/23(木) 11:34:40.46

ですよね

プランク定数(宮城県) **[JP]** · 2021/12/23(木) 11:48:31.91

通信データからじゃなくて別のとこから漏れるんだろ
漏れるのも不具合起こすのもいつものことだ

全国民が繋ぐ可能性のあるアプリ使う人間が増えれば
飯時に鯖が落ちるのは決定だし
ココアの件で学習しろ

大規模イベントでは通信障害で周囲の通信鯖が落ちる
通信増強用の車の台数なんてたかが知れてて絶対数が足りない

土星(千葉県) **[ﾆﾀﾞ]** · 2021/12/23(木) 12:10:22.65

>>188
>>179
NFCってしか書いてないや
2chMate 0.8.10.106/HUAWEI/ELE-L29/10/DR

アルデバラン(茸) **[ﾆﾀﾞ]** · 2021/12/23(木) 12:13:37.04

>>202
免許証持ってるならスマホで免許証読み込めるか試してみればいい

土星(千葉県) **[ﾆﾀﾞ]** · 2021/12/23(木) 12:14:40.27

>>203
了解、ありがとうね。

青色超巨星(埼玉県) **[ﾆﾀﾞ]** · 2021/12/23(木) 14:09:11.78

コミケに間に合わせたくて必死なのか？ｗ
そんなの知ったこっちゃねぇわ

豚のデータ集めていやがらせする作戦か？ｗ

青色超巨星(埼玉県) **[ﾆﾀﾞ]** · 2021/12/23(木) 16:33:22.40

>>191
二つ以上の公開鍵
パターン解析

まぁ、可能だわな
中間者攻撃が可能ってのはヤバいわけさ
ここまで解析されてりゃ、破られるのは時間の問題って訳で

ジュノー(ジパング) **[US]** · 2021/12/23(木) 16:37:28.55

インストール要件統べてみたしているのに
iphone SE第一世代でアプリをインストール
させてくれないのは　不満　行政なんとかしろ

青色超巨星(埼玉県) **[ﾆﾀﾞ]** · 2021/12/23(木) 16:42:38.35

第一世代じゃNFC付いてないじゃん

スピカ(東京都) **[US]** · 2021/12/23(木) 16:42:42.23

そもそも怪しいソースだったな

ガニメデ(ジパング) **[FR]** · 2021/12/23(木) 16:43:57.49

反ワクさあ…いい加減にしろよ

グリーゼ581c(東京都) **[US]** · 2021/12/23(木) 16:45:07.82

>>206
残念不可能

青色超巨星(埼玉県) **[ﾆﾀﾞ]** · 2021/12/23(木) 16:47:41.19

>>211
できるだろ

詳しい方法は書かないけど
捕まっちゃう♪

グリーゼ581c(東京都) **[US]** · 2021/12/23(木) 16:56:26.59

>>212
できないよ
できないように作られてる
何十年も前に出来たスイカですら抜き出せた奴はいないでしょ

エンケラドゥス(千葉県) **[RU]** · 2021/12/23(木) 16:56:56.25

すいません、どうやら2ちゃんニュース速報のデマでした。

青色超巨星(埼玉県) **[ﾆﾀﾞ]** · 2021/12/23(木) 17:19:56.57

>>213
そりゃまぁ、スイカは中間者攻撃できないように作ってあるからな

だがワクチンアプリは違う
一事が万事、ド素人の設計なんだよな
政府のシステムって
その辺の無能SEが適当にこしらえたレベルのセキュリティしかない
実質穴だらけ
まぁ、今から再設計しても10年は無理だなこれ

グリーゼ581c(東京都) **[US]** · 2021/12/23(木) 17:50:04.43

>>215
スイカ使うアプリだって自分の証明書入れてそれ使ってSSL通信すれば中身は見えるよｗ
この証明書アプリもＯＳの警告無視してインチキ証明書をインストールでもしないと中間者攻撃なんてできない
ちなみに中間者攻撃できてもカード内のデータをすべて抜き出す事はできない

青色超巨星(埼玉県) **[ﾆﾀﾞ]** · 2021/12/23(木) 17:52:41.99

>>216
お前が認証局を理解してない事はわかった

グリーゼ581c(東京都) **[US]** · 2021/12/23(木) 18:07:30.73

>>217
マイナンバーカードのデータが引っこ抜けるって言ってる時点で全く理解してないって事だからｗ

ヘール・ボップ彗星(光) **[EU]** · 2021/12/23(木) 18:28:47.38

海外で運用中の証明アプリのローカライズだから
cocoa並みのへまは起こらないはず

青色超巨星(埼玉県) **[ﾆﾀﾞ]** · 2021/12/23(木) 19:40:45.10

>>218
分かってないのか

単純に説明すれば
たとえば１２３４って数字があるとする
これに1回目の暗号化で５５５５を足して６７８９で送信する訳
６７８９をブルートフォースかけて１２３４を割り出すのは色々あって難しい訳だけど

2回目に３３３３を足して４５６７にして送信させる
エラーが発生しました、最初からやり直してくださいでも何でも良いわけ

６７８９と４５６７の共通点比較すると、
１２３４が分かる訳

極々、単純に言うと、こういう方法

2021/12/24(金) 08:34:59.56

>>220
現代暗号技術全否定ｸｿﾜﾛﾀ
そんなんで簡単に秘密鍵がわかったらインターネットは崩壊するなｗ