Government

政府・自治体

2016.11.17 投稿者: ブログチーム

「e-Taxソフト」の脆弱性が発見され、公開を停止していたソフトを一部再開 – 国税庁(1)

「e-Taxソフト」の脆弱性が発見され、公開を停止していたソフトを一部再開 – 国税庁(1)

“「e-Taxソフト」に脆弱性が見つかった問題で、国税庁では同ソフトの公開を一時停止していたが、メンテナンスが終了したとして一部提供を再開した。
問題の脆弱性は、同ソフトのインストーラーにおいて、検索パスの指定に問題があり、細工されたライブラリファイルを読み込むおそれがある「CVE-2016-4901」。脆弱性が悪用された場合、任意のコードを実行されるおそれがある。”
(経済産業省ニュースリリース2016年10月21日より抜粋)

e-Tax(国税電子申告・納税システム)ソフトのインストーラに脆弱性が判明し、情報処理推進機構とJPCERTコーディネーションセンターが10月19日、詳細情報を公開して同ソフトの公開を停止していましたが、2016年10月21日、メンテナンスが終了したとして提供を再開したというニュースです。

国税庁は、10月14日にインストーラの公開を中止して、注意喚起を行っていました。

この脆弱性はDLLを読み込む際の「検索パス」についてのもので、インストーラを実行するときに悪意のあるDLLを読み込んでしまう可能性があるというものです。

つまり、インストーラを実行するプロセスの権限で、なんらかのプログラムを実行されてしまう可能性があるのです。

攻撃者が細工したDLLが配置されていることが必須条件になるため、既に利用中のe-Taxソフトは影響を受けませんでした。国税庁は、脆弱性が含まれたインストーラを使って新たにe-Taxソフトを導入することをしないよう呼びかけていました。

e-Taxに限らず、インストーラに同様の脆弱性が発見されることはままあることのようです。

(2)では、他のソフトの例とそれによりどのようなリスクがあるのかを解説します。

法的免責事項
本WEBマガジンへ情報の掲載をする個人(管理人を含む)は、アライドテレシスの社員である場合がございます。本WEBサイト上のコメント及び意見については、あくまで投稿者の個人的な意見であり、当社の意見ではありません。本WEBマガジンは情報の提供のみを目的としており、アライドテレシスや他の関係者による推奨や表明を目的としてはおりません。各利用者は、本WEBマガジンの利用に関するあらゆる責任から、アライドテレシスを免責することに同意したものとします。
Page Top