経済産業省電子申請システムの配布していたソフトにセキュリティホール

　2002年4月5日、経済産業省は、同省の電子申請システム(ITEM2000)で配布していたソフト（サンマイクロシステムズ社、JRE 1.3.1_01）にセキュリティホールがあったことを発表した。

（緊急の注意喚起）経済産業省電子申請システムの申請者用ソフト
（ITEM2000）をインストールしておられるユーザの方へ
http://www.meti.go.jp/application/item2000exp/index.html

　このソフトは、申請者用ソフトをPCにインストールする際に、同時にインストールされるもの。Java と呼ばれるプログラム言語で開発したプログラムを実行するために必要で、プログラムを実行する際に、そのプラグラムが信頼できるものであるかを、確認する機能がついている。
　今回のセキュリティホールは、本来実行してはいけない信頼できないプログラム（Java applet）の実行を許してしまうものであった。

　サンマイクロシステムズ社では、この問題を3月19日に発表しており、今回の経済産業省の発表は、これを受けたものになる。

　同省では、対処方法を web に掲載するとともに、セキュリティ上の問題のないソフトの配布の準備をすすめている。
　同省の対策では、Internet Explore などのブラウザで Java を使用できない設定することを奨めているが、Java が必要な web サービスは他省庁の申請サービスなど多数存在する。利用者の利便性を大きく損なうことととなっている。

　なお、先だって開始された総務省の電子申請・届出システムでもセキュリティ上の問題が指摘されたばかりである。

総務省電子申請・届出システム等のセキュリティ対策に残る疑問？ (2002.4.2)
https://www.netsecurity.ne.jp/article/1/4618.html
開始早々不備をさらけだした総務省「電子申請・届出システム」(2002.3.29)
https://www.netsecurity.ne.jp/article/1/4604.html

　Java および実行環境などについてのセキュリティホールは数多く発見されている。インターネットのセキュリティは成熟してない。 Java に限らず、今後もさまざまな問題が発見されることが予想される。
　Java を利用する以上は、こうした状況を踏まえた上で、問題がおきた際の迅速な対応ができる体制を整えておく必要がある。

・セキュリティホールに関する情報

Chronology of security-related bugs and issues, 3/19/02
http://java.sun.com/sfaq/chronology.html
http://sunsolve.Sun.COM/pub-cgi/retrieve.pl?doctype=coll&doc=secbull/218&type=0&nav=sec.sba

CIAC2002/03/25
M-060 : Sun Bytecode Verifier Vulnerability
http://www.ciac.org/ciac/bulletins/m-060.shtml

Sun Microsystems, Inc. Security Bulletin
#00218　Bytecode Verifier
http://www.sunsolve.sun.com/pub-cgi/retrieve.pl?doctype=coll&doc=secbull/218&type=0&nav=sec.sba

SecurityFocus
Multiple Vendor Java Virtual Machine Bytecode Verifier Vulnerability
http://online.securityfocus.com/bid/4313

（詳しくはScan　および　Scan Daily EXpress 本誌をご覧ください）
http://shop.vagabond.co.jp/m-ssw01.shtml
http://shop.vagabond.co.jp/m-sdx01.shtml