情報処理推進機構(IPA)セキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)は2016年12月1日、日本年金機構が無料で提供しているソフトウエアのインストーラーに脆弱性が見つかったことを明らかにした。インストール時に、意図しないプログラムを実行される恐れがある。現在公開されている最新版では解消済み。
日本年金機構では、年金の届書を作成したり印刷したりするためのソフトウエアを無料で提供している。同機構のWebサイトからダウンロードできる。
日本年金機構が提供するソフトウエアのダウンロードページ
[画像のクリックで拡大表示]
今回、一部のソフトウエアのインストーラーに脆弱性が見つかった。該当のインストーラーには、DLL(ダイナミックリンクライブラリ)ファイルを読み込む処理に問題があるという。このため、該当のインストーラーを実行した際に、ウイルスなどの悪質なプログラムを意図せず読み込んで、実行してしまう恐れがある。
ただしこの脆弱性を悪用するには、ユーザーのパソコンの特定の場所に、細工を施したDLLファイルを配置しておく必要がある。
影響を受けるのは、2016年10月17日以前に公開されていた、以下のソフトウエアのインストーラー。
・仕様チェックプログラム(社会保険) Ver. 9.00 およびそれ以前
・届書印刷プログラム Ver. 5.00 およびそれ以前
・媒体データパスワード設定プログラム Ver. 1.00 およびそれ以前
・届書作成プログラム Ver. 15.00 およびそれ以前
現在公開されている最新版のインストーラーでは脆弱性は解消されている。このため、今後、新規にインストールする場合やバージョンアップする場合には、日本年金機構の情報に従って最新のインストーラーを使用すれば問題ない。
