Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

法務省のオンライン登記支援ソフトに不正なパスワードで復号できる脆弱性

法務省が、登記のオンライン申請のために提供している「登記申請書作成支援ソフトウェア」に脆弱性が見つかった。同省では問題を解消した「同V3.4C」を公開している。

登記を行った際、登記所から登記名義人へ「登記識別情報」として12桁の文字列が発行され、所有権移転など次の登記を行う際の本人確認に利用されるが、オンライン申請時に登記所より登記名義人に対して暗号化されて発行される「登記識別情報」を同ソフトで復号する際に不具合があり、本来設定したパスワード以外でも一部復号化できるという。

復号には登記名義人が登記所へデータを送付する際に添付する公開鍵とペアになる秘密鍵が必要で、さらに不正なパスワードについても、正しいパスワードから推測する必要があるため、同省では、「それぞれの情報が正しく管理されていれば復号されることはない」と説明している。

しかし、83の登記所で268通の登記識別情報をオンラインで発行しており、159人に影響があることから、同省では郵便や代理人を通じて登記名義人に対して事態を説明、謝罪する方針だ。また登記識別情報の失効や差し替えといった手続きを行うほか、関連物件の登記申請があった場合に慎重な審査を行うなど対応を強化するという。

さらに同省では、法務省や法務局など登記識別情報のパスワードなどを求めることはないとし、今回の脆弱性に便乗するなりすましなどに注意するよう呼びかけている。

法務省
http://www.moj.go.jp/

(Security NEXT - 2007/10/10 ) このエントリーをはてなブックマークに追加

PR

関連記事

ソフォス、クラウド型サンドボックスの国内運用を開始
ネット通販の中古ドライブ、50台中15台にデータ - 8台に企業情報らしきファイル
顧客情報など約2.6万件を従業員が持ち出し、ネット上に保存 - 千葉県の不動産会社
イベント告知メールで誤送信、メアド流出 - 江戸川区
高校行事出席者へのお礼メールで誤送信 - 宮城県
【特別企画】企業のIoTセキュリティとスマホをテーマに講演会 - JSSEC
電気通信事業者におけるサイバー攻撃などへの対応の方向性を策定 - 総務省
宮城県関連サイトが改ざん、ランサム脅迫文が表示 - 閲覧者への被害は確認されず
仮想通貨取引所「Zaif」がBTCを0円売買 - 不具合を原因として無効化
SECCON決勝戦が終幕 - 韓国チームが連覇、日本チームは3位と健闘