セキュリティの
学び場

今回の解説ニュース

電子申請のアプリに脆弱性が発見されています。ご利用中の方は最新版へアップデートを検討してください。発見された脆弱性の内容と、その対策について説明します。

今回の脆弱性は、細工されたURLからe-Gov電子申請アプリケーションを起動することで、想定されていないWebサイトにアクセスさせられる脆弱性が存在するというものです。影響を受けるシステムは、「e-Gov電子申請アプリケーションWindows版 2.1.1.0より前のバージョン」「macOS版 1.1.1.0 より前のバージョン」です。影響として、Webブラウザなどから攻撃者によって細工されたURLにアクセスすることで、当該製品を経由して任意のウェブサイトにアクセスさせられ、フィッシング等の被害にあう可能性があるということです。JVNでは、開発者が提供する情報をもとに、最新版へアップデートするよう呼びかけています。

深刻度を表すCVSSv3の基本値は4.3で、3番目に高い「警告」とされています。脆弱性の詳細は、本脆弱性に割り当てられたCVE番号「CVE-2023-44689」で検索してみてください。

アップデート以外の対策について

今回、発見された脆弱性の対策として、最新版へアップデートすること以外に、メールの本文などに書かれている不審なURLをクリックしないことが求められます。

脆弱性が発見されたe-Gov電子申請アプリケーションをインストールすると、システムに Custom URL Scheme が登録され、Webブラウザなどから特定の URL にアクセスすることで当該アプリケーションが起動されるようになります。

Custom URL Schemeとは、アプリケーションが提供する独自のURLスキームです。アプリケーションをインストールすることで、カスタムされた独自のURLスキームを使用することができるようになり、アプリケーション間でデータを受け渡すことが可能となります。

例えば、oh-haru://のようなカスタムURLスキームを実装することで、開発したアプリケーションを起動させたり、特定の画面に遷移させたりすることができます。今回の脆弱性は、e-Gov電子申請アプリケーションがアクセスするWebサイトの情報が含まれたカスタムURLを指定することができるというものであるため、e-Gov電子申請アプリケーションのCustom URL Schemeが使用された不審なURLが、メールの本文などに書かれている場合は、クリックしないようにすることが必要となります。

脆弱性の深刻度の基準とは？

脆弱性の報告や対応の基準について、IPAが公開している脆弱性関連情報の届出受付や、CVSSの概説に書かれている内容を引用して説明します。

IPAでは、インターネット利用者に対する被害を予防することを目的として、2004年7月8日から脆弱性関連情報の適切な流通および対策の促進を図っています。対象として、ソフトウエア製品脆弱性関連情報とウェブアプリケーション脆弱性関連情報の届出を受付けています。特に、複数の製品開発者の製品に影響する可能性がある脆弱性関連情報については、受け取れない製品開発者が出ないように、IPAへ届出を行うことが望ましいとされています。

CVSSv3では、深刻度レベル分けを、緊急、重要、警告、注意、なしの5段階に設定しています。深刻度の基準となるスコアは、脆弱性の技術的な特性を評価する基本評価基準、ある時点における脆弱性を取り巻く状況を評価する現状評価基準、利用者環境における問題の大きさを評価する環境評価基準を順番に評価していくことで、脆弱性の深刻度を0～10.0の数値で表しますが、セキュラジでは基本評価基準によって、深刻度を評価しています。深刻度が緊急となれば、一般的には早急に対応すべきとなりますので、皆さんは現状評価基準と環境評価基準も鑑みた上で、対応要否の参考になれば幸いです。