JPCERTコーディネーションセンター(JPCERT/CC)は7月26日,JCE(Java Cryptography Extension)1.2.1で使われているデジタル証明書の期限切れで発生する問題について,再度注意を呼びかけた(関連記事)。期限切れが7月28日6時43分(国内時間)に迫っていることに併せて,JCEが組み込まれている開発環境で作成したアプリケーションも影響を受けることが明らかになっているためである。「JP Vendor Status Notes(JVN)」の情報などを参照して,影響を受ける製品がないかどうか改めて確認したい。
JCEとは,暗号化や電子署名の機能を提供するJavaのライブラリ・モジュール(パッケージ)。JCE 1.2.1に使われているデジタル証明書の有効期限が2005年7月28日に切れるため,それ以降はJCEの一部の機能が動作しなくなる。その結果,JCE 1.2.1を利用しているソフトウエア製品が正常に動作しなくなる可能性がある。
JVNなどの情報によれば,JCE 1.2.1を利用していなくても,JCE 1.2.1が組み込まれている開発環境を使って作成したアプリケーションも同じように影響を受ける可能性があるという。当初JVNでは,「影響を受けるシステム」として「Sun 提供の JCE 1.2.1 を利用した Java アプリケーション」だけを挙げていたが,7月25日付けで「 Sun 提供の JCE 1.2.1 が組み込まれている開発環境を用いて作成したアプリケーション」を追加している。このためJPCERT/CCでは,「影響を受けるシステムが,当初の予測よりも広範に及ぶ可能性がある」としている。
JVNの該当ページでは,証明書期限切れの影響に関して各ベンダーが公表している情報を取りまとめて公開している(関連記事)。この情報などを参考に,影響を受ける製品を使っていないかどうか,改めて確認しておきたい。
◎参考資料
◆JVN#93926203 Java Cryptography Extension 1.2.1(JCE 1.2.1)の証明書の期限切れで 2005/07/28 以降ソフトウエアが正常に動作しなくなる問題 (7月25日更新)
(勝村 幸博=IT Pro)
