5月17日、東京・大阪の自衛隊大規模接種センターにおける新型コロナウイルスワクチンの大規模集団接種のWeb申し込みが始まった。申し込みできるのは、東京、埼玉、千葉、神奈川、大阪、京都、神戸に居住しており、地方自治体から送付された接種券を持っている65歳以上の高齢者。手元にある接種券に書かれた情報を入力すると、5月24日以降、自衛隊大規模接種センターでワクチン接種を受けることができる。
誰でも、架空の番号でも
ワクチン接種を申し込めてしまう
ところがこの予約システムに重大な欠陥があると、朝日新聞社系のAERA dot.と毎日新聞が報じた。予約サイトでは、接種券に記載されている6ケタの市区町村コードと10ケタの接種券番号、さらに自分の生年月日を入力すると、日時を選び予約するページに進めるようになっている。しかしここで、6ケタ/10ケタの数字と生年月日をすべて適当に入力しても日時を選んで予約できる、つまり、接種券を持っていなくても、誰でも簡単に予約できてしまうということが判明したのだ。
通常、この手のサイトでは、申込者が入力する情報(この場合は市区町村コード、接種券番号、生年月日)が正しいものであるかどうか、元データに照らし合わせてチェックを行い、間違っていれば先に進めないようになっているのが一般的だ。しかし今回は、防衛省の予約システムが市区町村の予約システムと連携しておらず、接種券番号の情報を収集できなかったため、架空の数字を入力しても予約ができる仕様になってしまったようだ。
適当なダミーの数字を入力すれば、接種券がなくても予約できるということになれば、悪意がある人が次々に枠を予約して、当日無断キャンセルするといった嫌がらせも簡単だ。また、今回の申し込み条件を満たさない人(対象地域に住んでいない、64歳以下であるなど)もこっそり予約できてしまうことになる。
またこのほか、接種券を持った人が番号を間違えて入力して予約してしまった結果、後から正しい番号を入力して予約した人が、すでに申し込み済みとしてハネられてしまい、予約ができないといったトラブルも起こりうる。