情報処理推進機構(IPA)セキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)は1月12日,「長崎県電子県庁システム」の一部にセキュリティ・ホールが見つかったことを明らかにした。アクセス権限を持たないユーザーに,システムが管理する情報を閲覧されたり,改ざんされたりする恐れがある。現在公開されているシステム(ソースコード)では修正されている。
長崎県電子県庁システムとは,長崎県が開発した自治体向けのシステム。システムの一部はオープンソースとして公開されている(関連記事)。ソースコードが公開されているシステムに,今回セキュリティ・ホールが見つかった。
セキュリティ・ホールは2種類。1つは,認証処理に関するセキュリティ・ホール。このセキュリティ・ホールを突けば,ユーザー認証を回避してシステムにアクセスできる。影響を受けるのは,「統合メインメニュー」「年次休暇システム」「WEB職員録システム」「文書保管システム」。
もう1つは認証情報(パスワード)に関するセキュリティ・ホール。特定の認証情報がソースコードに埋め込まれているので,その認証情報を使えば誰でもシステムにアクセスできてしまう。「WEB職員録システム」が影響を受ける。
「長崎県電子県庁システム オープンソース」のページによれば,2005年12月28日付けで,これらのセキュリティ・ホールを修正したソースコードを公開したという。
なお今回の脆弱性は,「情報セキュリティ早期警戒パートナーシップ」に基づいて,産業技術総合研究所 情報セキュリティ研究センターの高木浩光氏からIPAへ報告され,JPCERT/CCが調整をおこなった(関連記事)。
◎参考資料
◆JVN#836B21C0 長崎県電子県庁システムにおける認証処理に関する脆弱性
◆JVN#6CA72ADB 長崎県電子県庁システムにおける認証情報に関する脆弱性
◆長崎県電子県庁システム オープンソース
