法務省のオンライン登記支援ソフトに不正なパスワードで復号できる脆弱性
法務省が、登記のオンライン申請のために提供している「登記申請書作成支援ソフトウェア」に脆弱性が見つかった。同省では問題を解消した「同V3.4C」を公開している。
登記を行った際、登記所から登記名義人へ「登記識別情報」として12桁の文字列が発行され、所有権移転など次の登記を行う際の本人確認に利用されるが、オンライン申請時に登記所より登記名義人に対して暗号化されて発行される「登記識別情報」を同ソフトで復号する際に不具合があり、本来設定したパスワード以外でも一部復号化できるという。
復号には登記名義人が登記所へデータを送付する際に添付する公開鍵とペアになる秘密鍵が必要で、さらに不正なパスワードについても、正しいパスワードから推測する必要があるため、同省では、「それぞれの情報が正しく管理されていれば復号されることはない」と説明している。
しかし、83の登記所で268通の登記識別情報をオンラインで発行しており、159人に影響があることから、同省では郵便や代理人を通じて登記名義人に対して事態を説明、謝罪する方針だ。また登記識別情報の失効や差し替えといった手続きを行うほか、関連物件の登記申請があった場合に慎重な審査を行うなど対応を強化するという。
さらに同省では、法務省や法務局など登記識別情報のパスワードなどを求めることはないとし、今回の脆弱性に便乗するなりすましなどに注意するよう呼びかけている。
(Security NEXT - 2007/10/10 )
ツイート
PR
関連記事
2020年末に「Flash」のサポート終了 - Adobeが表明
中小企業向けに改正個人情報保護法を解説 - チェックリストも
セキュリティ人材のキャリアパスや処遇改善など検討する「JTAG」 - 発起人会が発足
病院や施設など24サイトが改ざん - 北海道の医療法人
「ベネッセの介護相談室」が改ざん被害 - 外部サイトへ誘導
セキュアブレイン、インフラやウェブアプリの脆弱性診断サービス
ALSI、夏休み限定でフィリタリングソフトを無償提供
2017年2Qの脆弱性登録は3511件 - 制御システム関連は上半期に67件
2件の脆弱性を解消した「Joomla! 3.7.4」がリリース - 複数バグにも対応
JPCERT/CC、「Mirai」被害低減や標的型攻撃情報共有などに貢献した専門家やCSIRTに感謝状
