IPA(独立行政法人情報処理推進機構 セキュリティセンター)およびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は19日、個人事業者などが確定申告に用いる国税電子申告・納税システム「e-Tax」ソフトウェアに関して、インストーラが抱える脆弱性の情報を公開した。
この脆弱性は、「e-Tax」ソフトのインストーラに不備があり、意図しないDLLを読み込んでしまうというもの。悪用されると、e-Taxのインストーラを実行しているプロセスの権限で、任意のコードを実行される可能性がある。条件は「攻撃者の意図する場所に、細工されたDLLファイルが何らか方法で配置されている」ことなので、攻撃を成功させるにはそれなりのハードルがある。
2016年10月18日現在、対策方法は存在しない。IPAとJPCERT/CCは、e-Taxのインストーラを実行しないように呼びかけている。
国税上のWebサイトでは「e-Taxソフト等のメンテナンスについて」として、e-Taxのダウンロードやバージョンアップを停止中だ。既にダウンロードしてあるものに関しては、「インストール用ファイルを実行しない」「インストール用ファイルを削除する」と述べている。なお、インストール済みのe-Taxをバージョンアップせずに利用して申告することや、市販の税務会計ソフトなどを利用して申告するぶんには問題ない。