国税庁は2014年4月25日、Webサイト上の「確定申告書作成コーナー」など3つのサービスを停止した(画面)。オープンソースのWebアプリケーションフレームワーク「Apache Struts(アパッチ・ストラッツ)」のセキュリティ脆弱性が問題になっており、サイバー攻撃を受けるリスクが高いと判断した。
国税庁が停止したのは「確定申告書作成コーナー」「e-Taxソフト(WEB版)」「NISA(日本版ISA=少額投資非課税制度)コーナー」の3サービス。脆弱性の影響について関連サイトを調査したところ、この3サービスが「Struts 1」を利用して構築されており、脆弱性の影響を受けることを確認したという。WEB版以外のe-Taxソフトによる電子申告には影響しない。
サービス再開時期は未定だ。「確定申告書作成コーナー」では必要事項を入力するだけで確定申告書を作成できたが、「サービス再開までの間は、国税庁ホームページ様式を印刷していただき、手書きにて作成して提出いただきますようお願いいたします」と呼びかけている。
サポート終了した「Struts 1」を利用
Strutsに関しては、サポートを終了している旧版の「Struts 1」と現行版「Struts 2」の両方でセキュリティ脆弱性が見つかっている。脆弱性を悪用されると、外部から個人情報などを窃取されたり、不正プログラムを実行されたりする恐れがある。
国税庁がサービスで利用していたのは旧版の方。「今後パッチが出てくるであろうStruts 2系と違い、抜本的な対策の取りようがない」(ラックの西本逸郎取締役専務執行役員、関連記事)という指摘があり、国税庁も対応に時間を要する可能性がある。
国税庁以外の官公庁や企業のWebサイトにも同様の脆弱性が潜んでいる可能性が高い。大型連休を控え、各組織の対応が遅れることで悪影響が広がる懸念もある。
[国税庁の発表資料]
「Apache Struts脆弱性」関連記事
- Apache Struts 2の脆弱性対策が急務、攻撃プログラムが出回る
- Apache Struts最新版に脆弱性対策の漏れ、IPAがWAFやIPSでの対策呼びかけ
- 「Strutsの脆弱性を突く攻撃を検知、早急な対策を」、ラック西本専務