経済産業省電子申請システムの配布していたソフトにセキュリティホール
2002年4月5日、経済産業省は、同省の電子申請システム(ITEM2000)で配布していたソフト(サンマイクロシステムズ社、JRE 1.3.1_01)にセキュリティホールがあったことを発表した。
製品・サービス・業界動向
業界動向
(緊急の注意喚起)経済産業省電子申請システムの申請者用ソフト
(ITEM2000)をインストールしておられるユーザの方へ
http://www.meti.go.jp/application/item2000exp/index.html
このソフトは、申請者用ソフトをPCにインストールする際に、同時にインストールされるもの。Java と呼ばれるプログラム言語で開発したプログラムを実行するために必要で、プログラムを実行する際に、そのプラグラムが信頼できるものであるかを、確認する機能がついている。
今回のセキュリティホールは、本来実行してはいけない信頼できないプログラム(Java applet)の実行を許してしまうものであった。
サンマイクロシステムズ社では、この問題を3月19日に発表しており、今回の経済産業省の発表は、これを受けたものになる。
同省では、対処方法を web に掲載するとともに、セキュリティ上の問題のないソフトの配布の準備をすすめている。
同省の対策では、Internet Explore などのブラウザで Java を使用できない設定することを奨めているが、Java が必要な web サービスは他省庁の申請サービスなど多数存在する。利用者の利便性を大きく損なうことととなっている。
なお、先だって開始された総務省の電子申請・届出システムでもセキュリティ上の問題が指摘されたばかりである。
総務省電子申請・届出システム等のセキュリティ対策に残る疑問? (2002.4.2)
https://www.netsecurity.ne.jp/article/1/4618.html
開始早々不備をさらけだした総務省「電子申請・届出システム」(2002.3.29)
https://www.netsecurity.ne.jp/article/1/4604.html
Java および実行環境などについてのセキュリティホールは数多く発見されている。インターネットのセキュリティは成熟してない。 Java に限らず、今後もさまざまな問題が発見されることが予想される。
Java を利用する以上は、こうした状況を踏まえた上で、問題がおきた際の迅速な対応ができる体制を整えておく必要がある。
・セキュリティホールに関する情報
Chronology of security-related bugs and issues, 3/19/02
http://java.sun.com/sfaq/chronology.html
http://sunsolve.Sun.COM/pub-cgi/retrieve.pl?doctype=coll&doc=secbull/218&type=0&nav=sec.sba
CIAC2002/03/25
M-060 : Sun Bytecode Verifier Vulnerability
http://www.ciac.org/ciac/bulletins/m-060.shtml
Sun Microsystems, Inc. Security Bulletin
#00218 Bytecode Verifier
http://www.sunsolve.sun.com/pub-cgi/retrieve.pl?doctype=coll&doc=secbull/218&type=0&nav=sec.sba
SecurityFocus
Multiple Vendor Java Virtual Machine Bytecode Verifier Vulnerability
http://online.securityfocus.com/bid/4313
(詳しくはScan および Scan Daily EXpress 本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml
http://shop.vagabond.co.jp/m-sdx01.shtml
《ScanNetSecurity》