« 地方銀行ITベンダーシェア | トップページ | トイレ家電化、ペーパー自動切り機登場 »

2005.09.22

公的個人認証サービスでpath変数破壊問題

(2005/9/29補足)
うむむ、国中央からいろいろ指示が全国に飛んでいるらしい…。
結局、どうも配布CDを作り直すようですね。さすがに現状のまま放置はマズイと思ったか。間もなく新CDが地方自治体の窓口に配送されるらしい。
先のpath問題発見者な登さんは、ソフトイーサVPN2で認証に公的個人認証サービスを使う方式を開発したようですね。
VPN 2.0 RC1、住民基本台帳カードと連携したユーザ認証機能を搭載
http://www.softether.com/jp/news/050916a.aspx
だからカードを所有してたのか。
しかしこの発表に対して総務省あたりは知事とかの保証能力を想定外に利用されるとして、どうもいい顔してないっぽい。正式コメントではないけど。普及優先で黙認するかもしれない。
民間から電子署名&証明書を調達するより安いですからねぇ確かに。
それに一応法的にはこういう公的でないところでの利用は違反ではないとイーサ側も裏取ってるでしょうし。


(2005/9/22)
2003年から始まった公的個人認証サービス、IT好きな私ですら電子申請はしなさそうなので導入はしてないのですが、運転免許証のように金や時間や技能がいらず、保険証のように偽造されない、500円ぐらいの費用、これで身分証明になるので良いものだと思います。>住基カード&その中に入れる公的個人認証サービス
しかし以前から、なりすましで本人確認書類を偽装して他人が住基カードを取得するなどローテクに不正取得されるなど、なんだかなぁな本人確認性だとは思ってましたが、
公的のほうも、化石というか昔懐かしいバグを抱えていたとは。

2005/9/15 公的個人認証の利用者クライアントソフトに不具合--ほかのアプリケーションが動作しなくなる場合も
http://itpro.nikkeibp.co.jp/article/govtech/20050915/221262/
2005/9/16 不具合情報が開示されないまま16日まで利用者に配布--公的個人認証利用者クライアントソフト
http://itpro.nikkeibp.co.jp/article/govtech/20050916/221325/
今回発見者?な登大遊さんの『SoftEther VPN 日記』
http://d.hatena.ne.jp/softether/20050831

MS-DOS時代にアプリのインストール経験している方なら、今回の「インストールでpath変数を壊される」ときくとすぐピンとくることでしょう。
WindowsXPな時代でも、このパラメタがOSに残っているとは…これは盲腸みたいな昔の名残であり、ここでないと動作できない事ってもはや無いと思うのですがどうでしょう?

外部参照するファイルを探すための基礎となるパス情報を記述するところですが、
最初のDOSのconfig.sysやautoexec.batには手入力で記述していた。
次にインストーラが自動で自社アプリpathを書き足すようになった。
win3.1以降はwindows¥*.iniファイルに分散して書くようになり、
win95以降はレジストリに置くのがデフォルト…と認識しています。
この中で2番目の時代のときに、インストーラの行儀が悪いとconfigやautoexecが破壊されて迷惑を被ったものです…(遠い目)
;セミコロンで継ぎ足せばいいのですが、ファイルアクセスの成功度も100%では無かったので
ベリファイするとか、前のファイルを.bakで残すとかすれば行儀がよいとされてましたっけ。それで、アンインストールはもっと危ないので、あえて「すいませんがpathは手作業で削除してください」なアプリもありました。
そんなことせずに、今までうなぎ蒲焼きのタレのように積み重ねてきたpath文字列を自社の1つだけで置き換えてしまうなんて「お前はカッコウのヒナかよ!」とツッコミしたくなるぐらいです。
そんな現象が現代でも残っていたとはびっくり、というかこのインストーラ開発者って…。
当時に被害が少なからずあったので、グローバル変数の書き換えっこはもうやらないのが了解事項だと思っていたのですが、公的のPKIライブラリはここのpath宣言がどうしても必要なのだろうか?

上の日経の記事に顛末が書かれてますが、今日の今日まで9万枚とか発行してて、当然パソコンにj-pkiプログラム(公的個人認証サービスクライアントソフト)を入れないと電子申請とかできないのでたくさんの人がインストール行為を行っていたわけで、
逆によくまあ1年以上も発覚しなかったなあとも思えます。
JPKIと関係のない部分を破壊するのですから、こんなはた迷惑なインストーラは使用は怖いのですが、
自治体衛星通信機構ラスコム(http://www.lascom.or.jp/)やJ-PKI(http://www.jpki.go.jp/)は9月頭に認知していながら公表する9月16日まで時間かかってました。
というか15日に日経BPの取材を受けて慌てて翌日に公開してる印象も。
注意メモを付けることでCD配布はやめないというし、過去にインストールした潜在被害者への告知はどうするのか決めてないし(WEBに掲載しても見に行く人は居ないでしょう)、修正版のリリースも未定。
すごいお金かけてるシステムでのんびりした対応ですね…。
地方自治体あたりが、電子申請のサイトでアナウンスしてもよさそうですよね。目的の場所に置けば目に留まるし。
(9/22で関東を見てみたら、東京都共同と栃木県の電子申請TOPページではこれの注意喚起してました)

逆に言えば、これだけのほほんと対応できるくらい、実害は少ないってことか。
他のアプリはレジストリに移行済みでしょうし。

ちなみに私の仕事パソコンのpath変数は(コンパネ>システム>環境変数)
%SystemRoot%;
%SystemRoot%\system32;
%SystemRoot%\System32\Wbem;
C:\PROGRA~1\JUSTSY~1\JSLIB32;
C:\Program Files\ATI Technologies\ATI Control Panel
一太郎LIBとATIコンパネしかない。今時この場所は使いませんよね…

とりあえず周りで公的個人認証サービスをパソコンに入れていた人に声かけて、このpathの話はしましたが、やはり一般の人はpathとか言われてもわからない/知らないようです。
壊されても気付いてないのかも。
逆に開発やプログラミングをバリバリやっている人は、参照が突然効かなくなって、原因も突き止めきれるだろうが、「今までのpath資産がぁ〜」と怒り嘆くかもしれませんね。
パソコンのプロほどダメージ大きいのかも…
公式発表では何バイトでどう変わるかの症状解説を丁寧にやってますが、そんな暇あったら修正パッチ出せばと思います。
というか、壊されて失った他のアプリpath変数をどう修復して償うつもりなのでしょう?>lascom

|

« 地方銀行ITベンダーシェア | トップページ | トイレ家電化、ペーパー自動切り機登場 »

IT・汎用機」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/3180/6063378

この記事へのトラックバック一覧です: 公的個人認証サービスでpath変数破壊問題:

« 地方銀行ITベンダーシェア | トップページ | トイレ家電化、ペーパー自動切り機登場 »