高木浩光＠自宅の日記

■ 電子申請のJRE脆弱性放置、各都道府県の状況

5日から報道された問題。各都道府県ではどうなっているのか。短時間でざっと調べてみた。（忙しいと逃避してしまう。NISCが調査するとの報道だったので任せておけばいいところ、つい調べてしまう。）

上から順に悪い事例。下は良い事例。このように良い事例もあるのだから「○○が悪いので」は言い訳にならない。

5日の厚生労働省と同じ状況で現在も放置中のところ

• 大阪府は、「以下のソフトをインストールする必要があります。（１）Java実行環境 「ダウンロード」よりソフトウェアを取得してください」として、以下のURLで JRE 1.4.2_08 を現在も再配布中。
  http://www.pref.osaka.jp/f_menu/shinsei/dl_file/j2re-1_4_2_08-windows-i586-p.exe
  1.4.2_08 は厚生労働省の件の 1.4.2_10 より古く、脆弱性情報が公表されたのは 2005年11月。期限切れであることの説明はない。回避策の説明はなく、今回の報道を受けてのお知らせもない。（お知らせページ）

パッチバージョン固定でJREを使用させ、未対応かつ回避策を告知していないところ

• 熊本県は、JRE同梱のインストーラを配布中。JRE 1.4.2_10 のJREを同梱。6日付の「重要なお知らせ」で、「最新のＪＲＥに対応した電子申請のソフトウェアを、今月中を目処に準備を進めております」としているが、回避策を案内していない。

  重要なお知らせ 　（平成１９年７月６日）

  「よろず申請本舗」ではサン・マイクロシステムズ社のソフトウェアであるJRE1.4.2_10を利用しています。既報の通りこのバージョンに脆弱性があることが確認されており、悪意あるWebサイトを閲覧すると、脆弱性を悪用し、外部からパソコン内のファイルを読み書きができるなどの可能性がありますので、不審なサイト等には充分に注意して下さい。

  なお、「よろず申請本舗」では、最新のＪＲＥに対応した電子申請のソフトウェアを、今月中を目処に準備を進めております。準備が整い次第、本サイトでご案内いたしますので利用者の皆様にはご理解いただきますようお願い申し上げます。

  公表日不明の「お知らせ」にて、

  よろず申請本舗の一部の手続で利用している「Java 2 Runtime Environment（JRE）のバージョン1.4.2_10についてセキュリティ上の脆弱性があることが判明しました。本脆弱性に対応した新しい JREの提供につきましては、準備が整い次第本サイトでご案内いたしますので、それまで提供元が不明であるなど不審と思われるアプレットは絶対に実行しないように注意してください。

  とあり、2005年2月19日の日記「官公庁の担当者は署名なしアプレットの存在を知らないのか」で書いたことと同じ勘違いをしていて、事の重大性を理解していないと思われる。

• 山口県は、JRE同梱のインストーラを配布中。JRE 1.4.2_13 のJREを同梱。13日付の告知で次のように案内しているが、これは誤り。_13 以降に見つかっている脆弱性は、Java Web Startに関するものだけではない。

  ２．この問題の対応策

  やまぐち電子申請サービスでは、「Java Web Start」は利用いたしませんが、より安全を確保するために次の手順に従って、ご利用されるブラウザから Java Web Start アプリケーションが起動しないように処理を行ってください。

パッチバージョン固定でJREを使用させ、報道後に回避策の告知はしたが未対応のところ

• 岡山県は、「ご利用ガイド」のページで、JRE 1.4.2_10 のインストールを促しており、以下のURLで JRE 1.4.2_10 を現在も再配布中。期限切れのバージョンであることの説明はない。
  http://www.pref.okayama.jp/e-entry/guidance/download/j2re-1_4_2_10-windows-i586-p.exe

  トップページには「重要なお知らせ」として6日付で「公的個人認証サービスに係る重要なお知らせ」という案内を出しているが、「詳細は厚生労働省のホームページのとおり」として他人事。

  １．岡山県・市町村電子申請システムでは、公的個人認証サービスを用いた電子申請を行う場合は、サン・マイクロシステムズ社のソフトウェアである JRE1.4.2_10を利用しているところですが、同様のソフトウェアを利用する厚生労働省からJREの脆弱性について発表がありました。詳細は厚生労働省のホームページのとおりですが、被害回避のため、公的個人認証サービスを用いた電子申請を行わない場合は、JREを削除していただきますようお願いいたします。JREの削除情報は厚生労働省のホームページを参照してください。

  今後は、サン・マイクロシステムズ社が公表するJREの脆弱性を解消する情報が入り次第、情報提供させていただきますので、ご理解ください。

  その情報は一昨年に公表されている。

• 北海道は、事前準備の説明ページで、JRE 1.4.2_10 のインストールを促しており、以下のURLで JRE 1.4.2_10 を現在も再配布中。期限切れのバージョンであることの説明はない。
  https://shinseido.ar.pref.hokkaido.lg.jp/soudan-res/html/tools/j2re-1_4_2_10-windows-i586-p.exe

  トップページには、6日付で「Sun Microsystems社「Java2 Runtime Environment」のぜい弱性について」の告知があり、無効化するか削除する手順を紹介している。

• 千葉県は、JRE同梱のインストーラを配布中。JRE 1.4.2_10 のJREを同梱。11日の「重要なお知らせ」で、「セキュリティ上の脆弱性があることが公表されています」として、Java Plug-inをを無効にする設定を紹介。

パッチバージョン固定でJREを使用させ、報道前から回避策の告知はしているが未対応のところ

• 佐賀県は、「電子申請を行うための設定」のページで、JRE 1.4.2_06 のインストールを促しており、以下のURLで JRE 1.4.2_06 を現在も再配布中。JRE 1.4.2_06 は特に古く、脆弱性が公表されたのは2005年3月。
  http://www.pref.saga.lg.jp/portal/public/HP/j2re-1_4_1_06-windows-i586-i.exe

  同じページの下の方で、「JRE使用の注意事項について」として、次のように説明している。_07 の記述があることから、2005年に書かれたものと思われる。

  佐賀県電子申請システムで利用しているバージョンについて

  現在、佐賀県電子申請システムで動作確認しているJREのバージョンはJRE1.4.1_06です。 佐賀県電子申請システムでは、JREを上記の脆弱性対応バージョンにした場合、申請データの画面が一部、表示されないことが確認されています。 上記のバージョンでの正常動作を確認するまでの間、次の「対処方法」を実施いただくようお願いいたします。

  対処方法

  提供元が不明で不審と思われるアプレットは、絶対に実行しないでください。佐賀県電子申請システムを利用された後、当該JREを非稼動状態にしてください。

  「絶対に実行しないでください」というのは、2005年2月19日の日記「官公庁の担当者は署名なしアプレットの存在を知らないのか」で書いたことと同じ勘違いをしていると思われる。

• 新潟県は、発表日不明の告知ページ（Last-Modified: は 2007年5月18日 14:13:37）にて、「動作確認しているJREのバージョンは JRE1.4.1_07、JRE1.4.2_03、JRE1.4.2_10」であるとして、Javaの無効化を案内している。この案内がいつからあったかは不明だが、archive.orgの記録によると、2007年3月4日の時点では存在しなかったもよう。

  新潟県申請・届出システムでは、JREを最新バージョンにした場合、申請データの送信ボタンでエラーが表示されるなど、一部機能が正常に動作しないことが確認されています。

  最新バージョンにおける動作確認につきましては、鋭意実施いたしますが、それまでの間は下記の対応を実施いただくようお願いいたします。

  (1) 提供元が不明であるなど不審と思われるアプレットは、絶対に実行しないでください。

  (2) 新潟県申請・届出システムを利用された後、当該JREを非稼動状態にするようにしてください。

  「絶対に実行しないでください」は、2005年2月19日の日記「官公庁の担当者は署名なしアプレットの存在を知らないのか」で書いたことと同じ勘違いをしているもよう。

• 滋賀県は、設定手順の説明ページで、

  滋賀県電子申請システムでは、ご利用のパソコンに申請時の入力内容を保存したり、電子署名を行うために、ご利用のパソコンに「申請者用プログラム」とJRE（Java Runtime Environment Version1.4.2_06）をインストールする必要があります。

  ※プログラムのインストールをさせる際に、ＪＲＥ（Java）の最新バージョンでインストールするかを確認する場合があります。（利用者側の環境によって異なります。）その際には、必ず「いいえ」とし最新のバージョンでインストールしないようにしてください。

  として、マニュアルでも「JRE 1.4.2_06 以外のJRE がインストールされている場合は、事前にJRE をアンインストールしてください」としている。JRE 1.4.2_06 は特に古く、脆弱性が公表されたのは2005年3月。2007年5月10日付のお知らせで、「当面の間は、下記の対応を行っていただきますようお願いします」として、Javaの無効化を案内している。

• 宮城県は、専用ソフトの配布ページにて、JRE同梱のインストーラを配布中。JRE 1.4.2_13 のJREを同梱。トップページの「インフォメーション」欄に以下の記述があるが、発表日は不明。（報道後？）

  インターネットセキュリティに関する重要なお知らせ

  現在電子署名を行う電子申請手続用にダウンロードして御利用頂いております「宮城県電子申請システムインストーラ」につきまして，その中に含まれている米国 Sun Microsystems社のソフトウェア（JRE1.4.2_13）にセキュリティ上の脆弱性があることが同社から公表されました。サン・マイクロシステムズ社の公表内容はこちら（英文）

  宮城県では，この問題に対応した新しいインストールプログラムを提供準備中です。　電子署名の必要な申請手続を御利用される方は，大変お手数ですが宮城県電子申請システムを利用される時以外はJREをアンインストールされますようお願い致します。

• 鹿児島県は、JRE1.4.2_11 を使用させているところ、2006年12月21日と2007年5月31日付で、脆弱性の存在を告知し、「申請が終わられましたら、JREをアンインストールしていただきますようお願いいたします」としている。

パッチバージョン固定でJREを使用させているが報道後に最新版に対応したところ

• 長崎県は、公表日不明のページ（Last-Modified: は 2007年7月10日 12:53:44）にて、

  長崎県電子申請システムでは、Sun Microsystems社のJava 2 Runtime Environment（以下「JRE」という。）1.4.2_10をインストールしていただき、利用しているところですが、JRE1.4.2_14以前の複数のバージョンにセキュリティホールがあることを確認しました。（略）

  現在、長崎県電子申請システムのサイトからJRE1.4.2_10のダウンロードを一時停止し、セキュリティホールが修正されたバージョンのJREを早期に提供できるよう準備をしております。

  として削除方法を案内していたが、利用方法の説明ページでは既に _15 に対応し、JREを自サイト上で再配布している。
  http://eap.pref.nagasaki.jp/download/j2re-1_4_2_15-windows-i586-p.exe

• 群馬県は、11日付のお知らせで、「JREの最新版JRE1.4.2_15へのバージョンアップを行ってください」と対応。JREを自サイト上で再配布している。
  https://www.e-gunma.lg.jp/portal/upload/1/j2re-1_4_2_15-windows-i586-p.exe

• 福岡県は、JRE同梱のインストーラを配布中。JRE 1.4.2_15 のJREを同梱。14日付の「重要なお知らせ」で、「現在、このページでは最新バージョンのJRE（1.4.2_15）を使用した「申請者用プログラム」を提供しています」としている。

• 神奈川県は、JRE同梱のインストーラを配布中。JRE 1.4.2_15 のJREを同梱。6日付の告知で、「このたび、J2RE1.4.2_14以前について報告されている脆弱性への対応として、本システムが推奨するJ2REのバージョンを「J2RE1.4.2_14」から「J2RE1.4.2_15」へ変更することとなりました」としている。

• 沖縄県は、JRE同梱のインストーラを配布中。JRE 1.4.2_15 のJREを同梱。6日付の告知で、「J2RE1.4.2_15への対応を実施しました」としている。

パッチバージョン固定でJREを使用させているが報道前に最新版に対応したところ

パッチバージョン固定にしていないか不明だが、最新版への対応ができたと告知しているところ

• 富山県は、6日付のお知らせで、「これまでは、JRE1.4.2_10を推奨しておりましたが……このたびより最新のバージョンであるJRE1.4.2_15に対応しました」としている。

使用するJREバージョンを1.4.2と指定してパッチバージョン固定にしていないところ

• 大分県は、「バージョン1.4.2_15以上を用いてください」としており、13日付で「利用推奨環境をJRE1.4.2_15以降に変更」としている。

• 鳥取県は、「JRE (Java Runtime Environment) 1.4.1_06以降」と指定していて、6日付の案内で「当該JREを無効状態にしてください。またはこの脆弱性に対応している1.4.2_15をご使用いただくようお願いします」としている。

• 奈良県は、1.4.2_XX の任意バージョンで動作可能なような書き方になっていて、6日付で「1.4.2_15 にアップグレードされることをおすすめします」としている。

• 秋田県は、「本システムで推奨しているバージョンは「J2RE1.4.2_15以上」となります」としている。

• 東京都は、「本システムで利用可能なJ2REのバージョンは1.4.2_XX（XXは13以上） です」と指定している。

• 三重県は、「必要なバージョンは JavaTM2 Runtime Environment Standard Edition Version 1.4.1以上です」としていたところ、6日付のお知らせで次のように案内している。

  三重県電子申請・届出システムでの動作環境はJRE/SDK1.4.1以降で、また現在最新のバージョンであるJRE/SDK1.4.2_15で動作確認済みです。

• 香川県は、1.4.2 の最新版のインストールを促している。JREに新バージョンが出るたびに頻繁に告知が出ている。

• 宮崎県は、JRE 1.4.2 の最新版をインストールするように案内している。

使用するJREバージョンを指定していないはずが、説明が誤っているところ

• 京都府は、Microsoft Java VMでも動作するとしており、どのJavaバージョンでも動作するようだが、なぜか、事前準備の説明ページで、開発者向けの期限切れバージョンのダウンロードサイトへリンクしており、ここには必ず最新版より1つ前のバージョンしか置かれていないのだから、たいていの場合脆弱性のあるバージョンであり、極めて不適切。リンク先冒頭に書かれている英文が読めないらしい*1。

  JREの入手と設定

  Java実行環境としてJREをご使用になる方は、Sun Microsystems社のダウンロードサイトからダウンロードし、インストールしてください。

  Sun Microsystems 社のダウンロードサイト
  http://java.sun.com/products/archive/j2se/1.4.2_14/index.html

  上記サイトのページに対象のバージョンが存在しない場合は、以下よりダウンロードしてください。
  http://java.sun.com/products/archive/index.html

使用するJREバージョンを指定していないところ

• 福島県、栃木県、兵庫県、島根県、徳島県は、Microsoft Java VMでも動作するとしており、どのJavaバージョンでも動作するらしい。
  • ただし、兵庫県は、JRE 1.4.2_15のダウンロード方法をパッチバージョン固定で指定しており、不適切。

    JRE1.4.2_15を推奨しております。下記サイトよりダウンロードしてください。（略）

    ◆JRE1.4.2_15 のダウンロード（推奨）
    http://javashoplm.sun.com/ECom/docs/Welcome.jsp?StoreId=22&PartDetailId=j2re-1.4.2_15-oth-JPR&SiteId=JSC&TransactionId=noreg

    ◆JRE のダウンロード
    http://java.sun.com/products/archive/index.html

    また、 http://java.sun.com/products/archive/index.html は開発者向けの期限切れバージョンのダウンロードサイトであって、ここを紹介するのは著しく不適切。ページ冒頭の英文が読めないらしい*2。

  • ただし、福島県は、NT4.0の場合に JRE 1.4.2_03 でないと駄目だとされている*3。

  • ただし、島根県は、6日付の告知で、なぜか、「バージョン1.4.2_15の動作確認が取れておりません」「電子申請利用終了後はバージョン1.4.2_14をアンインストールするなどの回避策をとっていただきますようお願いします」としている。Microsoft VM でも動くものが、JRE 1.4.2_14 から _15 への変更で動かなくなるとは思えないのだが。

  • ただし、徳島県は、JREのインストール方法の説明で、開発者向けの期限切れバージョンのダウンロードサイトを案内しており、英文が読めないもよう。

    ※ 上記サイトのページの内容は、予告なく変更されることがあります。対象のバージョンが存在しない場合は、以下よりダウンロードしてください。
    http://java.sun.com/products/archive/index.html

• 石川県は、JRE 1.4.2 や JRE 5.0 の最新版のインストールを促している。

• 山梨県は、「現在やまなしくらしねっとではJRE 5.0 Update 12で動作確認済みです」としている。

• 静岡県は、「最新版のJREを「サン・マイクロシステムズ社」のダウンロードサイトよりダウンロードし、同サイトのインストール方法に従ってインストールを行ってください」とだけ言っている。

番外

• 山形県、岩手県、茨城県、埼玉県、岐阜県、 愛知県、和歌山県、広島県、 愛媛県はJREを使用していない。

  ただし、山形県は、「AdobeReader8.1へはアップデートなさらないようにお願いいたします」としているが、これは大丈夫なのだろうか？

  また、広島県は、次のように脆弱性のあるAcrobat Readerの使用を推奨している。

  ・Adobe Reader6.0.1〜（6.0.1〜6.0.5推奨）
  ・Adobe Reader7.0

  ※Adobe Reader8.0の提供が開始されておりますが，本システムでは正常に作動しない場合がありますので，御注意ください。なお，Adobe Reader8.0のサポートにつきましては，動作確認終了次第，改めて御案内させていただきます。

• 青森県、福井県、長野県、高知県には電子申請システムがないもよう。

全体を通して見ると、類似の対応をしているところには同じデザインのページがあったりして、共通のベンダーが関与しているように思える。

関連：
厚生労働省の脆弱性放置は何が問題とされているのか, 2007年7月8日の日記
続・厚生労働省の脆弱性放置は何が問題とされているのか, 2007年7月10日の日記

訂正（16日）

• 広島県が「使用するJREバージョンを指定していないところ」に混入していたのを取り消し。
• 京都府を「使用するJREバージョンを指定していないところ」から「使用するJREバージョンを指定していないはずが、説明が誤っているところ」へ移動。Microsoft VMでもよいとしているのに、なぜか、インストール方法の説明では archive から _14 をインストールさせている。