セキュリティ

SECURITY

公開：2024-09-28

【CVE-2024-47045】e-Taxソフトに権限昇格の脆弱性、国税庁が修正版インストーラーを提供し対応急ぐ

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• e-Taxソフト（共通プログラム）に脆弱性
• 不正なDLLが権限昇格して実行の恐れ
• JVNが9月24日に脆弱性を発表

JVNが発表したe-Taxソフトの脆弱性

脆弱性ポータルサイト「JVN」は2024年9月24日、国税庁が提供する「e-Taxソフト（共通プログラム）」のインストーラーに脆弱性（CVE-2024-47045）が存在することを発表した。この脆弱性は、レジストリを編集することにより不正に読み込まれたDLLを、一般ユーザーよりも高い権限で実行される可能性があるという深刻なものだ。^[1]

影響を受けるのは、2024年9月24日より前に国税庁ホームページ上に掲載されていたバージョンのe-Taxソフト（共通プログラム）のインストーラーである。この脆弱性は、CWE-268として分類され、攻撃者が用意した不正なDLLをアプリケーションよりも高い権限で実行できる可能性がある点が特に問題視されている。

対策として、国税庁は本脆弱性を修正したインストーラーを提供している。ユーザーは製品をインストールする際に最新版のインストーラーを使用することが強く推奨されている。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき、三井物産セキュアディレクション株式会社の吉川孝志氏がIPAに報告し、JPCERT/CCが開発者との調整を行った結果として公開されたものだ。

e-Taxソフト脆弱性の詳細

権限昇格の脆弱性について

権限昇格の脆弱性とは、攻撃者が本来与えられている権限以上の特権を不正に取得できる脆弱性のことを指しており、主な特徴として以下のような点が挙げられる。

• 一般ユーザー権限から管理者権限への昇格が可能
• システムの重要な部分へのアクセスが可能になる
• マルウェアの実行やデータの改ざんなどの悪用の可能性がある

e-Taxソフト（共通プログラム）の脆弱性では、不正なDLLが高い権限で実行される可能性があるため、攻撃者がシステム全体を制御する恐れがある。この種の脆弱性は、OSやアプリケーションの設計上の欠陥、不適切な権限管理、バッファオーバーフローなどの実装ミスによって生じることが多く、早急な対策が必要とされる深刻な問題だ。

e-Taxソフトの脆弱性に関する考察

e-Taxソフトの脆弱性が発見されたことは、税務申告システムのセキュリティ強化の重要性を改めて浮き彫りにした。国税庁が迅速に対応し、修正版のインストーラーを提供したことは評価できるが、今後はこのような脆弱性が発生しないよう、開発段階でのセキュリティ設計と検証プロセスをより強化する必要があるだろう。

今後の課題として、e-Taxソフトのユーザーへの周知と更新の徹底が挙げられる。多くの個人や企業が利用するシステムであるだけに、脆弱性の存在と対策の必要性を広く伝え、すべてのユーザーが最新版にアップデートするよう促す取り組みが求められる。また、政府機関のシステムセキュリティ全般に対する信頼性を維持するためにも、他のシステムの点検と脆弱性対策の強化が急務となるだろう。

長期的には、e-Taxソフトのセキュリティ機能の強化が期待される。例えば、自動更新機能の実装や、インストール時の完全性チェックの強化、さらにはクラウドベースのソリューションへの移行なども検討の余地がある。政府のデジタル化が進む中、セキュリティと利便性のバランスを取りながら、より安全で信頼性の高い電子申告システムの構築を目指すべきだ。

参考サイト

1. ^ JVN. 「JVN#57749899: e-Taxソフト（共通プログラム）のインストーラにおける権限昇格の脆弱性」. https://jvn.jp/jp/JVN57749899/, (参照 24-09-28).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧