e-Taxソフトのインストーラに権限昇格の脆弱性、国税庁が修正版を緊急リリース

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約
e-Taxソフトのインストーラに発見された権限昇格の脆弱性
e-Taxソフトの脆弱性に関する詳細情報
権限昇格について
e-Taxソフトの脆弱性に関する考察
参考サイト

記事の要約

e-Taxソフトのインストーラに脆弱性が発見
権限昇格の脆弱性でDLLが不正実行の可能性
国税庁が脆弱性修正版インストーラを提供

e-Taxソフトのインストーラに発見された権限昇格の脆弱性

国税庁が提供するe-Taxソフト（共通プログラム）のインストーラに、権限昇格の脆弱性が存在することが2024年9月24日に公開された。この脆弱性は、レジストリを編集することにより不正に読み込まれたDLLを、一般ユーザーよりも高い権限で実行可能になるものだ。影響を受けるのは、2024年9月24日より前に国税庁ホームページ上に掲載されていたe-Taxソフト（共通プログラム）のインストーラ版である。^[1]

この脆弱性は、CWE-268として分類されており、攻撃者により用意された不正なDLLをアプリケーションよりも高い権限で実行される可能性がある。国税庁は本脆弱性を修正したインストーラを提供しており、ユーザーに対して最新版のインストーラを使用するよう呼びかけている。この対応により、e-Taxソフトのセキュリティが強化され、ユーザーの個人情報や税務データの保護が図られることが期待される。

本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき三井物産セキュアディレクション株式会社の吉川孝志氏がIPAに報告し、JPCERT/CCが開発者との調整を行った。CVSSv3での基本値は7.8と評価されており、深刻度が高いことが示されている。この迅速な脆弱性の発見と対応は、セキュリティコミュニティの協力体制の重要性を示すものといえるだろう。

e-Taxソフトの脆弱性に関する詳細情報

項目	詳細
公開日	2024年9月24日
脆弱性の種類	権限昇格（CWE-268）
影響を受けるシステム	e-Taxソフト（共通プログラム）のインストーラ（2024年9月24日より前の版）
想定される影響	不正なDLLの高権限実行
対策方法	最新のインストーラを使用
CVSS v3基本値	7.8

権限昇格について

権限昇格とは、システム内でユーザーや処理が本来持っている権限以上の特権を不正に取得することを指しており、主な特徴として以下のような点が挙げられる。

システムの重要な部分へのアクセスが可能になる
通常は制限されている操作が実行可能になる
攻撃者がシステム全体を制御する足がかりとなる

e-Taxソフトのインストーラにおける権限昇格の脆弱性は、不正なDLLを高い権限で実行可能にするものだ。このような脆弱性は、攻撃者がシステムに深刻な被害を与える可能性があるため、早急な対策が必要となる。ユーザーは常に最新のセキュリティアップデートを適用し、不審なソフトウェアのインストールを避けるなど、基本的なセキュリティ対策を徹底することが重要である。

e-Taxソフトの脆弱性に関する考察

e-Taxソフトのインストーラに発見された権限昇格の脆弱性は、税務関連の重要な情報を扱うシステムにおけるセキュリティの重要性を再認識させる事例である。国税庁が迅速に対応し、修正版のインストーラを提供したことは評価できるが、今後はより厳密なセキュリティ検査プロセスの導入が求められるだろう。このような脆弱性が悪用された場合、個人情報の漏洩や不正な税務処理などの深刻な問題につながる可能性があり、その影響は甚大なものとなる可能性がある。

今後の課題として、e-Taxシステム全体のセキュリティ強化が挙げられる。単にインストーラの脆弱性を修正するだけでなく、システム全体の脆弱性スキャンや定期的なセキュリティ監査の実施、さらには外部の専門家によるペネトレーションテストの導入などが効果的だろう。また、ユーザー側のセキュリティ意識向上も重要だ。e-Taxソフトの更新案内をより分かりやすく、頻繁に行うことで、ユーザーが常に最新版を使用するよう促すことができるだろう。

長期的には、クラウドベースのシステムへの移行も検討に値する。クラウド化により、インストーラを介さずにWebブラウザからシステムにアクセスできるようになれば、このような脆弱性のリスクを大幅に低減できる可能性がある。また、AIを活用したリアルタイムの脅威検知システムの導入も、今後のe-Taxシステムのセキュリティ強化に貢献するだろう。国民の重要な情報を扱うシステムだけに、最先端のセキュリティ技術の導入と継続的な改善が期待される。