検索
連載

結局のところ「ホワイトリスト」とは何なのかセキュリティクラスタ まとめのまとめ 2016年3月版(2/3 ページ)

2016年3月のセキュリティクラスタは、またしても公開されたOpenSSLの脆弱性に恐々とする一方、「eLTAX」や「ホワイトリスト」に関して激しい議論を交わしていました。

Share
Tweet
LINE
Hatena

「eLTAX」、バージョンの古いJava強制からActiveXに移行して批判の的に

 3月は確定申告の時期ということで、(筆者を含む)たくさんの方が確定申告に追われたことかと思います。確定申告には「e-Tax」という電子申請の仕組みがあり、これを利用された方も多いと思いますが、それと似たような名前の「eLTAX」という地方税関連手続きのためのオンラインシステムがあります。あまり一般の人が使用することはないこのeLTAXですが、3月になり突如注目を集めることになりました。

 eLTAXはこれまでJavaアプレットを使用して各種申請などの機能を提供していたのですが、「最新版の動作確認が間に合っていない」などの理由から利用者に脆弱性のある旧バージョンのJRE(Java Runtime Environment)の使用を求めており、セキュリティ上の問題が指摘されていました。

 そこで3月14日にシステムがリニューアルされ、Java環境を必要としなくなりました。ところが、「これで古いJavaが使われなくなって一安心」ということで落着したかと思いきや、代替となる環境が「ActiveX」だったことが悪い意味で話題を呼びます。

 ActiveXはWindows上のInternet Explorer(IE)のみで使用できるプラグインの仕組みで、ActiveXを許可すれば通常インターネットからは行えないような個人のPCの細かい制御が可能となります。しかし、ActiveXコントロールの設定などによってはセキュリティ面で大きな穴が開いてしまうことにつながるため、「Microsoft Edge」でさえも現在はサポート対象外としているものです。そんな終わりを迎えようとしている仕組みを「なぜ今さら使い始めるのか」という点が多くの批判につながったようです。

 また、公式発表された設定方法にも大きなセキュリティ上の問題がありました。当初掲載されていた利用案内では、IEの設定で「署名済みActiveXコントロールのダウンロード」を「有効」にすることを利用者に求めていたのです。この手順に従えば、警告なしにActiveXコントールがインストールされるようになり、他の悪意あるサイトによる危険なActiveXコントロールのインストールが警告なしに行われることになってしまいます。

 このような状況が多くの人に知れ渡った結果、システムを構築したベンダーなどに対する批判の声も聞かれるようになりました。結局、署名済みActiveXコントロールのダウンロードを有効にすることは利用者に求めないようにマニュアルが書き換わりましたが、いったん動き出したシステムを止めるわけにもいかないようで、ActiveXはこのまましばらく使われ続けるようです。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  2. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  3. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  4. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  5. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  6. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  7. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  8. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  9. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  10. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
ページトップに戻る