vier

Let's be more curious.

【本当?】法務省・公安調査庁のサイトは安全・安心でなかった!

法務省・公安調査庁のサイト

はじめに

日本政府は2018年7月25日に「政府機関等の情報セキュリティ対策のための統一基準」を発表しましたが、2020年東京オリンピックが1年延期で無事終了したので、Webサイトの暗号化通信:HTTPSの状況について調べることにしました。

ChromeでHTTPS 経由で読み込まれたページの割合を調べると、2018年7月:66%から2021年7月:87%となっており、2年間で21PTも上昇してました。

出典元:ウェブ上での HTTPS 暗号化

政府機関のWebサイトは、オリンピックでのサイバー攻撃に備えて、当然全部SSL化が終わっているだろうと予測したのですが、タイトルにあるように、一部の省庁ではSSL化がなされてなく、その組織自体が安全・安心でなかった、というお話です。

政府機関Webサイトの暗号化

調査結果の一覧をまとめたので結果を表示します。

官公庁名URL暗号化
内閣官房https://www.cas.go.jp/TLS 1.2
内閣法制局https://www.clb.go.jp/TLS 1.2
人事院https://www.jinji.go.jp/TLS 1.2
内閣府https://www.cao.go.jp/TLS 1.3
宮内庁https://www.kunaicho.go.jp/TLS 1.2
公正取引委員会https://www.jftc.go.jp/TLS 1.3
国家公安委員会https://www.npsc.go.jp/TLS 1.3
警察庁https://www.npa.go.jp/TLS 1.3
個人情報保護委員会https://www.ppc.go.jp/TLS 1.2
カジノ管理委員https://www.jcrc.go.jp/TLS 1.2
金融庁https://www.fsa.go.jp/TLS 1.2
消費者庁https://www.caa.go.jp/TLS 1.2
デジタル庁https://www.digital.go.jp/TLS 1.2
復興庁https://www.reconstruction.go.jp/TLS 1.2
総務省https://www.soumu.go.jp/TLS 1.3
公害等調整委員会https://www.soumu.go.jp/kouchoi/TLS 1.3
消防庁https://www.fdma.go.jp/TLS 1.2
法務省https://www.moj.go.jp/TLS 1.3
出入国在留管理庁https://www.moj.go.jp/isa/index.htmlTLS 1.3
公安審査委員会https://www.moj.go.jp/kouanshin/kouanshinsa_index.htmlTLS 1.3
公安調査庁https://www.moj.go.jp/KOUAN/shin/kouanshinsa_index.htmlTLS 1.3
外務省https://www.mofa.go.jp/TLS 1.2
財務省https://www.mof.go.jp/TLS 1.3
国税庁https://www.nta.go.jp/TLS 1.2
文部科学省https://www.mext.go.jp/TLS 1.2
スポーツ庁https://www.mext.go.jp/sports/TLS 1.2
文化庁https://www.bunka.go.jp/TLS 1.2
厚生労働省https://www.mhlw.go.jp/TLS 1.3
中央労働委員https://www.mhlw.go.jp/churoi/TLS 1.3
農林水産省https://www.maff.go.jp/TLS 1.3
林野庁https://www.rinya.maff.go.jp/TLS 1.3
水産庁https://www.jfa.maff.go.jp/TLS 1.3
経済産業省https://www.meti.go.jp/TLS 1.3
資源エネルギー庁https://www.enecho.meti.go.jp/TLS 1.3
中小企業庁https://www.chusho.meti.go.jp/TLS 1.3
特許庁https://www.jpo.go.jp/TLS 1.3
国土交通省https://www.mlit.go.jp/TLS 1.2
観光庁https://www.mlit.go.jp/kankocho/TLS 1.2
気象庁https://www.jma.go.jp/jma/TLS 1.2
運輸安全委員会https://www.mlit.go.jp/jtsb/TLS 1.2
海上保安庁https://www.kaiho.mlit.go.jp/TLS 1.2
環境省https://www.env.go.jp/TLS 1.2
原子力規制委員会https://www.nsr.go.jp/TLS 1.2
防衛省https://www.mod.go.jp/TLS 1.3
防衛装備庁https://www.mod.go.jp/atla/TLS 1.3
会計検査院https://www.jbaudit.go.jp/TLS 1.2

ドメインの登録情報もついでに調べたのですが、情報係長というカッコいい役人がいる部門はTSL 1.3迄しっかり対応している一方、担当部署が無いか人材がいないのか不明ですが、まだSSL化されてない省庁がありました。

それは、法務省、出入国在留管理庁、公安調査庁のWebサイトでした。(まとめの注参照)

公安調査庁

公安調査庁のトップページには下記のように偉そうなスローガンが表示されているのですが、常時SSL化されてなく、ビックリしました。



統一基準では「全ての情報に対する暗号化及び電子証明書による認証の対策を講じること」と定められているにも関わらず、公安調査庁は情報提供の入力ページのみをSSL化してた手抜きサイトでした。


公安調査庁のトップページには下記のスローガンが表示されています。

「すべては国民の安全のために」、「情報の力で国民を守る」それが公安調査庁です。

あなたの持っている技術やデータが狙われています 今、世界中で先進的な技術や重要なデータの国外への流出が大きな問題となってます

オイオイ、無防備なWebサイトのくせに何言ってるの?と笑ってしまいました。


また、国と国民への脅威に関する情報をお待ちしてます、とあったので、情報提供のページを見に行ったら、またビックリしました。
添付ファイルやリンクはセキュリティ対策上、閲覧しかねる、と書いてあるのです。


言い換えると、メールで送られてくる情報は信頼できないので、見ないよと言っているのです。

更に言うと、庁内のPCやネットワークを脅威から守れないと言っている訳で、公安調査庁は自分自身を脅威から守る力がない、と感じました。

こんな低レベルで消極的な姿勢で「情報の力で国民を守る」ことができるのでしょうかね。


更にビックリ仰天したことは、公安調査庁は公安調査庁職員によるセクシャルハラスメントについて、相談窓口を設けていました。



過去公安調査庁職員によるセクシャルハラスメントが発生していたということでしょうか。

ごく一部の職員だと思いますが、公安調査庁って全体的にモラルも低い風土なんですかね。


しかし、法務省もひどい状況です。

法務省

法務省のサイトにはキッズルームというページがあります。



やなせたかしさんがつくられた人権キャラクターが登場し「世界をしあわせ」というイメージソングを作り、人権が尊重される社会の実現に向けて、全国各地で活躍します、と宣伝してました。


また、人権擁護局は「人権相談やその後の救済手続を行っています。」と言ってます。


これって本当でしょうか。


実際は真逆の対応のニュースをたびたび目にします。

例えば、不法滞在の親の子供は強制送還となってます。creators.yahoo.co.jp

最近だと、スリランカの女性が入管内で動物あつかいされ、死亡するという痛ましい事件が発生してます。


法務省は、とても人権が尊重される社会の実現に貢献しているとは言えません。

また、人権を救済をうたっているのに、なぜ、非人道的な対応を繰り返すのか、理解不能です。とても悲しいですね。

まとめ

今回たまたま常時SSL化されてないWebサイトを調べたら、思わぬ状況を知ることになったのですが、統一基準を守ることができてない省庁は、実は大きな闇を抱えている、ということが分かりました。

法務省、出入国在留管理庁、公安調査庁のWebサイトは、本当に危ないので、あえて常時SSL化してない、と管理人は理解しました。

残念ながら、今の状態から良くならないなら、このままSSL化せず「セキュリティ保護なし」が表示され警告されるのがベターですね。

なぜなら、SSL化したら、みんな安全だと勘違いして信用してしまうからです。

でも、国外から見たらとても恥ずかしい状態なので、体制も含めて早急に改善されることを望みます。


注 2021年8月20日追加

法務省、出入国在留管理庁、公安調査庁のサイトは大臣官房秘書課の方が気付いたのか、常時SSL化されました。2021年8月24日開催パラリンピックに間に合って良かったですね。


地方自治体Webサイトの暗号化


そこで、45都道府県のSSL化度合いもついでに調べたので、参考に表示します。

結果は、奈良県だけがまだSSL化されてない状況でした。

都道府県URL暗号化
北海道https://www.pref.hokkaido.lg.jp/TLS 1.2
青森県https://www.pref.aomori.lg.jp/TLS 1.2
岩手県https://www.pref.iwate.jp/TLS 1.3
宮城県https://www.pref.miyagi.jp/TLS 1.2
秋田県https://www.pref.akita.lg.jp/TLS 1.3
山形県https://www.pref.yamagata.jp/TLS 1.3
福島県https://www.pref.fukushima.lg.jp/TLS 1.2
茨城県https://www.pref.ibaraki.jp/TLS 1.2
栃木県https://www.pref.tochigi.lg.jp/TLS 1.3
群馬県https://www.pref.gunma.jp/TLS 1.2
埼玉県https://www.pref.saitama.lg.jp/TLS 1.3
千葉県https://www.pref.chiba.lg.jp/TLS 1.2
東京都https://www.metro.tokyo.lg.jp/TLS 1.3
神奈川県https://www.pref.kanagawa.jp/TLS 1.3
新潟県https://www.pref.niigata.lg.jp/TLS 1.3
富山県https://www.pref.toyama.jp/TLS 1.3
石川県https://www.pref.toyama.jp/TLS 1.3
福井県https://www.pref.fukui.lg.jp/TLS 1.2
山梨県https://www.pref.yamanashi.jp/TLS 1.2
長野県https://www.pref.nagano.lg.jp/TLS 1.2
岐阜県https://www.pref.gifu.lg.jp/TLS 1.3
静岡県https://www.pref.shizuoka.jp/TLS 1.2
愛知県https://www.pref.aichi.jp/TLS 1.3
三重県https://www.pref.mie.lg.jp/TLS 1.2
滋賀県https://www.pref.shiga.lg.jp/TLS 1.2
京都府https://www.pref.kyoto.jp/TLS 1.2
大阪府https://www.pref.osaka.lg.jp/TLS 1.3
兵庫県https://web.pref.hyogo.lg.jp/TLS 1.2
奈良県https://www.pref.nara.jp/TLS 1.2
和歌山県https://www.pref.wakayama.lg.jp/TLS 1.2
鳥取県https://www.pref.tottori.lg.jp/TLS 1.2
島根県https://www.pref.shimane.lg.jp/TLS 1.3
岡山県https://www.pref.okayama.jp/TLS 1.2
広島県https://www.pref.hiroshima.lg.jp/TLS 1.2
山口県https://www.pref.yamaguchi.lg.jp/TLS 1.3
徳島県https://www.pref.tokushima.lg.jp/TLS 1.2
香川県https://www.pref.kagawa.lg.jp/TLS 1.3
愛媛県https://www.pref.ehime.jp/TLS 1.3
高知県https://www.pref.kochi.lg.jp/TLS 1.2
福岡県https://www.pref.fukuoka.lg.jp/TLS 1.2
佐賀県https://www.pref.saga.lg.jp/TLS 1.2
長崎県https://www.pref.nagasaki.jp/TLS 1.3
熊本県https://www.pref.kumamoto.jp/TLS 1.3
大分県https://www.pref.oita.jp/TLS 1.3
宮崎県https://www.pref.miyazaki.lg.jp/TLS 1.2
鹿児島県https://www.pref.kagoshima.jp/TLS 1.2
沖縄県https://www.pref.okinawa.jp/TLS 1.2




政府から指針は出てますが、全ての情報に対する暗号化及び電子証明書による認証の対策を講じることが望ましい、となっており必須事項ではありません。

奈良県の「情報セキュリティ基本方針」も読んでみたのですが、ウェブサイトの通信の暗号化等の対策は特に示されてませんでした。

県として方針がないので全ての情報の暗号化は実施してない、というお役所仕事なのでしょうか。


2021年10月1日 追記

下記つぶやきで気づかれたのか不明ですが、奈良県庁のHPは2021年10月1日にSSL化されました。良かったです。


気軽に足跡残してね!

この記事が「気になった・参考になった」と感じた方は、リアクションボタンか、ツイッターで♡いいねを押して、足跡を残して頂けると嬉しいです。

それでは今回の記事はこれでおしまい。

New PostOld Post
No Comment
    Please Enter Comments in Light mode
    comment url