e-Tax（国税電子申告・納税システム）ソフトのインストーラに脆弱性が判明し、情報処理推進機構とJPCERT コーディネーションセンターが10月19日、詳細情報を公開した。国税庁は14日にインストーラの公開を中止して、注意喚起を行っている。

それによると、脆弱性はDLL読み込み時の検索パスに関する処理の不備に起因し、インストーラ実行時に意図しないDLLを読み込んでしまうというもの。この脆弱性を悪用された場合、インストーラを実行しているプロセスの権限で任意のコードを実行される可能性があるという。

なお脆弱性を悪用するには、攻撃者の意図する場所に細工されたDLLファイルが何らかの方法で配置されていることが条件になるという。既にe-Taxソフトを利用している場合は脆弱性の影響を受けない。

国税庁は、脆弱性が存在するインストーラを使ってe-Taxソフトを新たに導入したり、更新したりせず、公開中止前にダウンロードしたインストーラのファイルを削除するよう呼び掛けた。公開の再開時期は未定。

同庁によれば、インストール済みのe-Taxソフトをバージョンアップしないで申告などを行ったり、市販の税務会計ソフトによる申告などは可能だとし、「申告などをお急ぎの場合は、ご不便をおかけしますが、書面での提出をお願いいたします」と、対応を求めている。

Copyright © ITmedia, Inc. All Rights Reserved.