えええ…。いまだに政府のウェブのサービスは新しいものでもこんなことをやってるのか。「世界最先端のIT国家」が。/教訓はどこへ? 32ビットIEとSafariのみ対応、Java必須のマイナンバーのポータルサイト https://t.co/NFaU8RoVaO
— 佐々木俊尚 (@sasakitoshinao) 2017年1月18日
内閣府が16日にオープンした、マイナンバーのポータルサイト「マイナポータル」がネットの一部で話題だ。マイナンバーに関連するサービスの検索や情報の確認、また税金などの支払いが行えるというこのサイト、現在は7月からの本格稼働に向けてアカウントの開設を促しているのだが、ネット上で話題になっている理由は、このサイトを使うにあたっての推奨環境。マイナンバーカードの読み取りに必要なICカードリーダライターは理解できるとして、ブラウザーはIE 11(32bit版のみ)およびSafariに限定されているほか、Java実行環境、JPKI利用者クライアントソフトのインストールが必須という、過去の官公庁のポータルサイトでの教訓がまったく活かされていないシビアな条件。これらの推奨環境を満たさない状態で「利用開始」ボタンをクリックすると、ソフトのインストールのほか、環境をチェックするための「マイナポータル環境設定プログラム」を実行するよう促されるという親切さに、多くのユーザーから嘆きの声が上がっている。7月のオープンまで半年の猶予があるとはいえ、それまでの改善は望み薄で、悪しき事例がまたひとつ追加されることになりそうだ。
これはマジでダメ。使っちゃダメです。こんな設定推奨してる時点でダメです。お前らは国民のPC全部脆弱にさせるつもりですか。 https://t.co/qZ8JSxpVou pic.twitter.com/dzwMG8sx4r
— rawegg – 加藤 僚一 (@rawegg) 2017年1月18日
何がダメかっつーとですね、ポップアップがアレなのはググってもらうとして、cookieを全許可するってことは、仮にこのサイトがクラックされた結果によるXSS脆弱性から個人情報をダダ抜きされる可能性があるって事ですよ。IEを推奨するような運用をしている行政がXSS対策できるんですかと
— rawegg – 加藤 僚一 (@rawegg) 2017年1月19日
本来ならば、サイト利用に併せてマイナンバーとは別個の利用開始専用コードを用意してサイト利用開始と同時にパスワードを強制設定、二要素認証噛ましてなんとか利用できる、かつサイト上でマイナンバーの全表示は一切なしくらいじゃないと危なっかしくて使えない。
— rawegg – 加藤 僚一 (@rawegg) 2017年1月19日