高木浩光＠自宅の日記

■ 治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ

ここ数年、不正送金の被害がインターネットバンキングの法人口座で急増しているという*1。その原因は今更言うまでもなく、Java実行環境（JRE）やAdobe製品の古いバージョンの脆弱性を突いてくるマルウェアである。しかしそれにしても、法人口座を扱うパソコンがなぜ、Java実行環境やAdobe製品をインストールしているのだろうか。インストールしなければ被害も起きないのに……。

その謎を解く鍵が、eLTAX（地方税ポータルシステム）にあるようだ。eLTAXでは、インターネットバンキングの口座を用いた納税ができることから、インターネットバンキング用のパソコンでeLTAXの利用環境も整えるということが普通になっていると思われる。そのeLTAXが、昨日までは、Java実行環境のインストールを強要していた。eLTAXはこの危険性を認識していたのか、3月11日の時点では、トップ画面に赤字で以下の注意書きを掲示していた。

図1: eLTAXが利用後はJavaを最新版にせよと指示していた様子

これに関してTwitter界隈の様子を調べてみると、案の定、阿鼻叫喚が渦巻いていた。

• 「このシステムを使用するには、まず手動でjavaをアンインストールしてから旧バージョンのjavaをインストールしてからご使用ください。終わりましたら旧バージョンのjavaをアンインストールして最新版のjavaをインストールしてください。」　むむむ・・・＾＾； #eLTAX

  — んじばあ (@njibaa99) 2015年4月28日




• eltaxさんの言い分
  「虚弱性見つかったから申告・申請前にJava最新に更新しろ」←わかる
  「利用届出はJava最新アンインスコして旧ver入れ直せ」←わからない

  — えごえご (@guuego) 2015年4月23日

• eLtaxの利用届出等の画面は、未だにJava実行環境のVer.7なんですね。で、それをVer.8 rev45とかにしないで、Ver7の実行環境でユーザーに利用届出等をさせておいて、その後でセキュリティのことを考えて、Ver.8に上げましょうという虫の良い忠告画面です。

  — Hiro_Skm (@hiro_skm) 2015年5月2日

• eLTAX（地方税の電子申告＆納付システム）が、素人が組んだみたいなJavaベースのゴミでストレスマッハ。こんなのに毎年億単位の開発費と運用費を人件費とは別に計上してる。いいなあ天下り！天下りてえ！

  — デス仙人 (@des_sen_nin) 2015年8月5日

これはけしてJavaが悪いわけではなく、アップデートしたくらいで動かなくなる（メジャーバージョンが変わったわけでもないのに）ようなeLTAXのアプレットの実装なり設計なりが悪い。おそらくは、起動時に「u73」のところのバージョン文字列をチェックして、所定の番号でない限り動かないように業者がわざと作り込んでいたのだろう。こういう話は2007年までに散々書いており、もうお腹いっぱいだった。

• 厚生労働省の脆弱性放置は何が問題とされているのか, 2007年7月8日の日記

  目次

  • 今回の報道
  • 過去の経緯
  • 何が問題なのか
  • 本当に動かなくなるのか
  • 内閣官房に期待すること
  • 新たな問題（Sun Microsystemsの愚行）

• 続・厚生労働省の脆弱性放置は何が問題とされているのか, 2007年7月10日の日記

  目次

  • JREの脆弱性には2つのタイプがある
  • 「電子申請システムを利用するにあたっては問題ありません」が嘘になる場合
  • JRE組み込みのアプリケーション開発という方法
  • Java Updateしても古いJREが消えない問題
  • ファミリバージョン指定という5.0 Update 7以降の機能
  • 電子申請システムを安全かつ便利にするため今なすべきこと

• 電子申請のJRE脆弱性放置、各都道府県の状況, 2007年7月15日

こうした類の問題は、国の政府機関についてはとっくに解決済みである。この2007年の報道で、厚労省の脆弱性放置が大々的に報じられ、当時の内閣官房情報セキュリティセンターが対応をとったことによる。現在の「政府機関の情報セキュリティ対策のための統一基準」では、以下の事項が規定されており、これに違反すれば政府機関は対応を迫られることになる。

遵守事項

6.3.1 (2) アプリケーション・コンテンツのセキュリティ要件の策定

(a) 情報システムセキュリティ責任者は、府省庁外の情報システム利用者の情報セキュリティ水準の低下を招かぬよう、アプリケーション・コンテンツについて以下の内容を仕様に含めること。

(オ) 提供するアプリケーション・コンテンツの利用時に、脆弱性が存在するバージョンのOSやソフトウェア等の利用を強制するなどの情報セキュリティ水準を低下させる設定変更を、OSやソフトウェア等の利用者に要求することがないよう、アプリケーション・コンテンツの提供方式を定めて開発すること。

解説

遵守事項6.3.1(2)(a)(オ)「脆弱性が存在するバージョンのOSやソフトウェア等の利用を強制する」について

行政サービスを提供する情報システムの提供において、当該情報システムを利用するために、府省庁外の事業者等が作成した汎用のソフトウェアやミドルウェアのインストールが利用者の端末で必要となる場合がある。この場合、利用者は府省庁から指示されたソフトウェアを自身の端末にインストールせざるを得ないが、指定されるソフトウェアのバージョンが古く、脆弱性が存在するものであると、利用者の情報セキュリティ水準を府省庁が低下させることになる。したがって、脆弱性が存在するバジョンのOSの利用やソフトウェアのインストールを府省庁が暗黙又は明示的に要求することにならないよう、アプリケーション・コンテンツの提供方式を定めて開発しなければならない。

（略）例えば、当該行政サービスを利用するために、第三者が提供している汎用のソフトウェアのインストールを必要としていたとする。このとき、当該ソフトウェアに脆弱性が発見され、それを修正した新バージョンのソフトウェアが公開された場合に、当該新バージョンのソフトウェアをインストールすることで当該行政サービスに不具合等が生じて利用が不可能になるような事態が発生すると、利用者は、当該ソフトウェアを新バージョンに更新することができなくなる。結果として、府省庁の行政サービスが利用者の脆弱性回避を妨げることになってしまう。こうしたことが起きないよう、行政サービスを提供するシステムは、第三者の汎用ソフトウェアの併用を前提とする場合は、当該汎用ソフトウェアが新バージョンに置き換わっても、正常に動作するように設計する必要がある。予期せず不具合が発生する事態が発生した場合にも、行政サービスを提供するシステムを修正することができるよう、迅速に新バージョンのソフトウェアに対応することを保守契約に盛り込んでおくことが望ましい。

（略）

なお、開発時に公開されているバージョンだけでなく、例えば、利用を想定しているブラウザの次期バージョンについて、ソフトウェアの配布前に情報が公開された状態又は試用版ソフトウェアが配布され動作検証可能な状態にあれば、前もって利用可能かどうかを検証するなど、その後に公開が想定されるバージョンにも対応できるよう、構築時に配慮することが望ましい。

遵守事項6.3.1(2)(a)(オ)「情報セキュリティ水準を低下させる設定変更を、OSやソフトウェア等の利用者に要求する」について

行政サービスを提供する情報システムを利用するために、利用者の端末にインストールされているソフトウェア（府省庁が直接提供していないソフトウェア（例えば、端末のOSやウェブブラウザ等））の設定変更を必要とするとき、その設定変更が情報セキュリティ水準の低下を招くものである場合、そのような設定変更を要求してはならない。必要があって利用者に設定変更を求めるときは、そのOSやブラウザの標準設定（初期設定）に変更することのみを求めるものとすること（略）

政府機関の情報セキュリティ対策のための統一基準, 内閣サイバーセキュリティセンター

しかし、この基準は地方公共団体には適用されない。日本国憲法92条がいう「地方自治の本旨」により、「地域のことは地方公共団体が自主性・自立性をもって、国の干渉を受けることなく自らの判断と責任の下に地域の実情に沿った行政を行っていくこと」とされているからである。eLTAXは地方公共団体が寄り集まって運営（組織概要参照）しているので、誰も彼らに指図することはできず、10年経ってもこのザマだった、というわけである。

Twitterにはこんな悲痛の叫びもあった。

• 本日の反省。またしてもeLtaxが上手くインストールできず(>_<)　原因はJAVA。このJAVAのおかげで数時間の時間を浪費してしまう、そして今日も。JAVAのマークが夢にまで出てきそう(T_T)　で、まだ解決してないよ。明日再挑戦、１時間とか時間決めよ。

  — yumikoH / 細野由美子 (@oyumichandes) 2015年5月18日




これは、eLTAXが、JRE（Java実行環境）の開発者向けテスト用バージョンのインストールを一般人に強制していたからのようだ。eLTAXは去年の時点では以下の説明をしていた痕跡がある。

• 【トピック】Java実行環境をインストールするには, eLTAX, 2015年8月27日時点
  

「Archive」とあるように、これは過去分の保管用のものであり、一般人向けのインストーラではない。URL中に「technetwork」とあるように、このページ自体がそもそも開発者向けのコンテンツである。そのため、「ダウンロードするには「Oracleプロファイル」が必要です。」という事態になっている。つまり、eLTAXは、一般人の利用者たちに、Java開発者の登録をさせていたのである。このばかげた手順は、以下の手順書にガッつり書かれている。

• Java実行環境(JRE)構築手順書, 一般社団法人地方税電子化協議会, 2.8版

この手順書の指示通りに、http://www.oracle.com/technetwork/java/javase/downloads/java-archive-javase8-2177648.html#jre-8u66-oth-JPR のURLにジャンプすると、ページの途中へジャンプしてしまい目にすることはないが、このページの冒頭には、ちゃんとこういう注意書きがある。

図2: eLTAXの指示通りにジャンプすると目に入ってこないページ冒頭部分の警告と注意書き

赤字のあたりに、「「警告：この旧バージョンのJREとJDKは、開発者が古いシステムのデバッグするのを補助するために提供されるものです。これらは、最新のセキュリティパッチが適用されておらず、実際の製品での使用は推奨されません。」とあり、下のところに、「Only developers and Enterprise administrators should download these releases.」つまり、「開発者及び企業の管理者以外の者は、これらのリリースをダウンロードしてはならない。」とある。eLTAXは、これを無視して一般人にインストールさせたばかりか、事もあろうに、この警告が目に入らないようにページの途中にリンクさせて一般人を騙し、Oracle開発者登録させ、インストールさせていたのである。これはもはや犯罪行為に等しい。

この話も10年前にもう書いていたので、正直お腹いっぱいだ。2005年には最高裁がこれをやらかしていた。（この当時は開発者登録は不要だったが。）

• サポート中止ソフトをこれからも入れさせる最高な裁判所, 2005年2月18日の日記

そのeLTAXが、今日からJavaのインストールが不要になったというので、冒頭の警告メッセージを以下のものに差し替えている。

図3: eLTAXの本日からの画面

「Java実行環境をアンインストールしてください」としているが、Oracleプロファイルの会員登録削除も促して然るべきだろう。無論そのためには、開発者向けのことを一般人にさせていた己の不明を詫びなければ、理由の説明にならない。

それにしても、10年間怠惰に徹してきたeLTAXが、ここにきてJava実行環境を必要としない方法に改めた背景には何があるのか。脆弱性のあるJREをインストールさせていたことが、銀行の不正送金被害を許す原因となっていたことが判明して、シャレで済まなくなったのではないか。*2

この仕様変更のお知らせが、2月2日から出ていた。

• 3月14日からJava実行環境が不要になります, 一般社団法人地方税電子化協議会, 2016年2月2日
  

「ActiveXコントロールのインストールが必要」とのことで、Twitter界隈はまたまた阿鼻叫喚で溢れていた。

• eLTAXという地方税の電子手続きサービスから「Java実行環境が不要になります！」というお知らせが来たが、よく読むと、代わりにActiveXコントロールのインストールが必要になるという、意味不明な内容だった。

  — EBIHARA Yuichiro (@yebihara) 2016年2月2日

• https://t.co/dA8ddp419X 2016年にもなって、"平成２８年３月１４日以降は、Java実行環境が不要" でかつ、今度からActiveXコントロールのインストールが必要です" ですって、eLTAX。

  — Makoto Kato ︎︎ (@makoto_kato) 2016年3月9日

• "ActiveX コントロールのインストールが必要" ということは事実上 IE を使うしかないということで、Windows 環境を持っていないユーザは eLTAX を利用できなくなることを意味する。なんだこの時代に逆行する変更は https://t.co/cOIEvDGzxi

  — Fomalhaut Weisszwerg (@FmtWeisszwerg) 2016年3月9日

• 「ActiveXコントロールのインストールが必要です」って…これ書類の日付いつだよ？ https://t.co/xfIpNmBFy1

  — Shigeyuki Hirai / 平＃ (@shigeyuki_hirai) 2016年3月9日

• 今更 ActiveX とか言われて Microsoft もいい迷惑なんだろうなあ RT @hebikuzure Java から縁を切ると思ったら今度は ActiveX かよ。Microsoft さん、なんか言ってやってw https://t.co/AvCFPAiU5e

  — hebikuzure rené (@hebikuzure) 2016年3月9日

• Microsoft Edgeで非対応にまでなったActive Xをなぜいまさらぶっこんだw Javaの方がまだ汎用性あるだろw
  
  eLTAX ｜ ３月１４日からJava実行環境が不要になります（パンフレット掲載） https://t.co/xT3kZXaHTJ

  — のいず（REDWELL-METAL） (@redwell_noise) 2016年3月9日

• eLTAXの申請サイト、JAVAアプレットを止めてActiveXに移行って、一体いつの時代のサイトなんだろう？

  — ひーくん (@hide_24) 2016年3月10日

• eLTAX ｜ ３月１４日からJava実行環境が不要になります https://t.co/aBkiuZRkWy
  ActiveXが代わりに必要になるっぽくて震えてる…

  — nekomatu@名古屋 (@nekomatu) 2016年3月11日

• @nekomatu あはは。仕様検討段階でそういう流れになると思ってなかったんでしょうね。懸念として挙げることはてきたと思いますが…

  — kazken3_(:3」∠)_ (@kazken3) 2016年3月11日

そして、この変更に伴い、「初めてのeLTAXをご利用の方はこちら」のボタンから進むと出てくる「必要な設定」のページの「STEP3」が次のものに差し替えられていた。

図4: eLTAX「必要な設定 STEP3 Internet Explorerの設定を確認する」より

嗚呼、これはシャレにならない。「署名済みActiveXコントロールのダウンロード」を「有効」に設定しろだと？ 2016年にもなって新たにこれを書かなくてはならなくなるとは思いもよらなかった。以下の表を示したのはもう10年も前のことだ。どうしてこんな簡単なことがわからないの？

• どんなにセキュリティ機能を追加してもそれを設定で殺させる虫が湧いてくる, 2005年8月2日の日記
• やってはいけないセキュリティ設定指示 Top 15 （Windows XP SP2編）, 2005年9月9日の日記
  
• 誤解される「自動的にダイアログを表示」の意味, 2005年9月18日

そもそも、実際にやってみればわかることだが、2006年にIE 7が出たときに、こうした危険な設定をしようとすると、設定画面がオレンジ色になって、警告が出るようになっている。*3

図5: eLTAXが指示する設定をしようとするとIEが警告を発する様子

これまで脆弱性のあるソフトを入れろと指示し、利用者は皆それに従ってきたのだから、このような理不尽な設定でも従順に従う人が続出するだろう。そして、次は、日本の法人口座を狙う不正送金マルウェアは、eLTAX利用者がこの設定をしていることに目をつけ、ActiveXコントロールを用いたマルウェアで攻撃してくることになるだろう。

いったいいつまでこういう阿呆なことを繰り返すつもりか。法人口座から不正送金マルウェアでお金を盗まれたら、eLTAXを疑うとよい。eLTAXの指示に従ったせいで被害が出たことを示して、損害賠償を求め地方税電子化協議会を訴えよう。それ以外、誰にもこの無能どもを反省させる術はない。