ニュース

国税庁が提供する“e-Tax”ソフトのインストーラーに脆弱性

意図しないDLLを読み込んでしまう恐れ。インストーラーを起動したときのみ影響

脆弱性対策情報ポータルサイト“JVN”

 脆弱性対策情報ポータルサイト“JVN”は18日、国税庁が提供する“e-Tax”ソフトのインストーラーに脆弱性が存在することを明らかにした。現在、国税庁は同ソフトの公開を中止している。

 “JVN”の脆弱性レポート(JVN#63012325)によると、“e-Tax”ソフトのインストーラーにはパスを検索する処理に不備があり、意図しないDLLを読み込んでしまう脆弱性が存在するという。攻撃者の意図する場所へ細工されたDLLファイルが何らかの方法で配置されている場合に、インストーラーを実行しているプロセスの権限で任意のコードを実行される恐れがある。脆弱性の評価は“CVSS v3”で基本値が“7.8”、“CVSS v2”で基本値が“6.8”となっている。

 10月18日現在、本脆弱性への対策は存在しない。そのため“e-Tax”ソフトを新規にインストールしないこと、インストーラーをローカルに保存している場合は削除することが推奨されている。

 なお、本脆弱性の影響を受けるのはインストーラーを起動したときのみ。すでにインストール済みの“e-Tax”ソフトをアップデートせず、そのままの状態で利用する分には問題ない。