厚生労働省の「電子申請・届出システム」で深刻な脆弱性を含む古いJavaアプリケーションの実行環境JRE(Java Runtime Environment)が使用されていた問題で、内閣官房情報セキュリティセンター(NISC)は20日、政府機関でのJREの使用状況をまとめた緊急調査結果を公表した。
調査結果では、14省庁33の公開情報システムでJREが使われており、うち13省庁(※1)の20システムが脆弱性のあるバージョンを指定していたことが分かった。NISCの調査期間と前後してJRE 5.0、6.0の深刻な脆弱性(※2)が公表されており、これらを含むと問題のあるシステムは23にのぼる。
JREの以下のバージョンは、これまでに情報の漏えいや改ざん、システムの乗っ取りなどの可能性がある深刻な脆弱性が複数報告されており、サポートを終了した1.3系以外は、いずれも修正版が無償で配布されている。
・JRE 1.3.1_20とそれ以前
・JRE 1.4.2_14とそれ以前
・JRE 5.0 Update 11(1.5.0_11)とそれ以前
・JRE 6.0 Update 1(1.6.0_01)とそれ以前
編集部が21~22日に行った調査では、問題のある23システム中3システムが、すでに最新版への更新を完了しており、1システムは「機器の調整中」としてサービスを停止。残る19システムに関しては、欠陥を抱えたまま運用を続けていた。いずれのシステムも何らかの注意喚起は行っており、NISCの調査結果では更新も予定されている。ただし、現行の指定バージョンが5年前のものだったり、更新が今年度末や来年度にずれ込むところもあったりと、首を傾げざるを得ない対応ぶりだ。
NISCの調査結果の確認と並行して、編集部では各都道府県の電子申請システムについても簡単な調査を実施した(メインのサービスのみで別仕立ての入札システムなどまでは調査していない)。
サービス自体の存在が確認できなかった青森、福井、高知の3県を除く44都道府県のうち、34都道府県のシステムでJREが使われており、うち12道府県(※3)が脆弱性のあるバージョンを指定していた。いずれも何らかの注意喚起は行っているものの、問題の回避策や対応予定について触れていなかったり、未だに脆弱性のあるバージョンの配布を続けているところもあった。
※1)内開府、警察庁、金融庁、総務省、外務省、法務省、財務省、文部科学省、厚生労働省、経済産業省、国土交通省、環境省、防衛省
※2)金融庁の「EDINET」が「JRE 6.0 Update 1」を、財務省の「確定申告書等作成コーナー」「国税電子申告・納税システム」が「JRE5.0 Update 11」を指定
※3)北海道、宮城県、千葉県、新潟県、静岡県、滋賀県、大阪府、岡山県、山口県、佐賀県、熊本県、鹿児島県
(2007/07/23 ネットセキュリティニュース)
■JRE等を利用する政府機関の公開情報システムに係る緊急調査の結果について[PDF](内閣官房情報セキュリティセンター)
http://www.nisc.go.jp/press/pdf/jre_chosa.pdf
【JRE最新版のダウンロード】
・6.0
http://www.java.com/ja/download/index.jsp
・5.0
http://java.sun.com/j2se/1.5.0/ja/download.html
・1.4.2
http://java.sun.com/j2se/1.4.2/ja/download.html
【過去記事:ネットセキュリティニュース】
・厚生労働省、「電子申請・届出システム」ソフトウェア(JRE)に深刻な脆弱性(2007/07/06)