• 
• 
• 

　政府が東京と大阪に設置する新型コロナウイルスワクチンの大規模接種センターで、予約システムの不備が問題になっている。ITセキュリティーに詳しい情報法制研究所の高木浩光理事は、このシステムがサイバー攻撃の標的にされ、多くの人が接種の予約をできない事態になる恐れもあると指摘する。原因は何か、どうすればいいのか。話を聞いた。

　――大規模接種センターの予約システムでは、架空の接種券番号などを使っても予約がとれるようになっていることがわかりました。どんな問題が起き得るでしょうか。

　予約サイトでは、住んでいる自治体を選んだり、自治体ごとに割り当てられた6桁の番号を入力したりした上で、自治体から届いた接種券に書かれている10桁の番号と生年月日を入力します。ただ、その生年月日が実際のものと合っているかはチェックされません。

　初めてアクセスした時に、自己申告にもとづいてその生年月日が「登録」され、アカウントが作られて予約の手続きに入れるようになります。2回目以降にページに入ろうとすると、入力した生年月日が1回目で登録されたものと一致しているか、チェックされます。それによって、本人からのアクセスかどうかを「確認」する仕組みになっているのです。

　そのため、もし自分と同じ接種券番号を、ほかの誰かが別の生年月日と組み合わせて入力し、先にアカウントを作られてしまうと、後から作ろうとしても「接種券番号と生年月日が一致しない→別人だ」とシステムに判断されて、入れなくなってしまいます。

　最悪のシナリオでは、サイバ…