厚生労働省は5日、同省の「電子申請・届出システム」で配布しているJavaアプリケーションの実行環境JRE(Java Runtime Environment)に、複数の深刻な脆弱性があるとして注意を呼びかけた。悪質なサイトを閲覧するだけで、システムが乗っ取られるなどの危険がある。
「電子申請・届出システム」は、同省への申請や届出をインターネット経由で行えるようにしたサービス。利用にあたっては、同省のホームページやCD-ROMで配布されている専用のソフトウェアが必要となる。当該ソフトウェアはJavaで書かれており、実行に必要なJREも同時に配布していたが、「1.4.2.10」という古いバージョンのまま更新していなかった。
当該バージョンは、昨年12月に特権昇格とローカルファイルのアクセスが可能になる4件の脆弱性が公表されたほか、1月にはコード実行の脆弱性が、4月と6月にも同様の深刻な脆弱性が複数公表された。いずれも脆弱性公表時には既に修正されており、1.4系の最新版「1.4.2.15」は、下記「Sun Developer Network」のダウンロードページの「J2SE JRE のダウンロード」で無償提供されている。
厚労省では、「電子申請・届出システム」のページで注意を呼びかけるとともに、Javaプラグインを停止する方法とJREを削除する方法を紹介。修正版は準備が整い次第、提供するとしている。厚労省が配布するJREを利用しているユーザーは、停止、削除、最新版へのアップデート、いずれかの方法で危険を回避していただきたい。
使用しているシステムにインストールされているJREのバージョンは、コマンドプロンプト(Windows XPなら[スタートメニュー]→[すべてのプログラム]→[アクセサリ]→[コマンドプロンプト])を開き、「java -fullversion」と入力して「Enter」キーを押すと表示される。Internet Explorerを使用している場合、下記「Javaソフトウェアのインストール状況のテスト」のページでも確認できる。
(2007/07/06 ネットセキュリティニュース)
■【重要】JREの脆弱性について(厚生労働省 電子申請・届出システム)
http://hanyous.mhlw.go.jp/shinsei/crn/html/CRNMenuFrame.html
■1.4.2_15のダウンロード(Sun Developer Network)
http://java.sun.com/j2se/1.4.2/ja/download.html
■Java ソフトウェアのインストール状況のテスト(Sun Developer Network)
http://www.java.com/ja/download/installed.jsp