関連記事
「都税クレジットカードお支払いサイト」が復活、ドメインを巡り批判
Apache Struts 2の脆弱性を狙った攻撃でクレジットカード情報を流出させ、一時停止されていた「都税クレジットカードお支払サイト」が復旧した(ITmedia)。しかし、今度はこのサイトが新たに「https://zei.metro.tokyo.lg.jp/」というドメインを利用することになっている点や表記などが不正確である旨が批判されている(セキュリティ研究者・高木浩光氏によるTogetterまとめ)。
lg.jpは地方公共団体を対象としたドメイン(JPRSの説明)。このドメインを登録できるのは地方公共団体とそれらの組織が行う行政サービスのみとされている。を運営するのはトヨタファイナンスであり、地方公共団体ではない。また、問題の都税クレジットカードお支払サイトにアクセスすると組織名として「東京都」として表示されるようにもなっている。
特に大きな問題点として、情報の取得主体が誰なのかが不明瞭になっている点がある。さらに、個人情報保護法の義務である「利用目的の公表」をしていないとも指摘されている。なお、このサイトは都が運用をトヨタファイナンスに委託しているものではなく、トヨタファイナンス自体が運営主体とのこと。
スラドのコメントを読む | ITセクション | インターネット | IT | 政府
関連ストーリー:
Apache Struts 2の脆弱性により、都税支払いサイト等から約72万件のクレジットカード番号が流出か 2017年03月11日
「jpcert.org」、JPCERTとは関係ない第三者に取得される 2017年02月21日
「kokuzei.noufu.jp」ドメインを使った「国税クレジットカードお支払サイト」が登場、今度は本物 2017年01月06日
都道府県型ドメインを使って紛らわしいドメインを作れる問題、今度は「zei.tokyo.jp」ドメインが登場 2016年12月16日
新居浜市の観光サイト、URL移転後に手放した旧ドメインが第三者に取得されリンクサイトとしてそのまま「再利用」される 2016年11月16日
※この記事はスラドから提供を受けて配信しています。
スポンサードリンク