長崎県がオープンソースで公開する「電子県庁システム」に脆弱性

長崎県がGPLライセンスの下でオープンソースとして公開している「電子県庁システム」に脆弱性が存在していた。同県では修正版を公開している。

[ITmedia]

　長崎県がGPLライセンスの下でオープンソースとして公開している「電子県庁システム」に脆弱性が存在していた。同県は情報セキュリティ早期警戒パートナーシップによる調整を踏まえ、2005年12月28日に問題を修正した新しいソースコードを公開している。

　長崎県電子県庁システムは、同県が開発した電子自治体向けのシステム。2005年10月に、財政面、人材面で苦しむ市町村の電子自治体化を支援するとともに、地場IT企業の振興という相乗効果を目的に、「年次休暇システム」「WEB職員録システム」「文書保管システム」などいくつかのシステムをオープンソースとして公開していた。

　情報処理推進機構セキュリティセンター（IPA/ISEC）とJPCERTコーディネーションセンター（JPCERT/CC）が運営するJVNが1月13日に公開した情報によると、今回指摘された脆弱性は2種類ある。

　1つは、認証処理が十分に行われないという問題だ。アカウントを持っていない第三者が正規ユーザーになりすましてシステムにアクセスし、機密情報の改ざんや漏えいにつながる可能性がある。この問題は、「統合メインメニュー」のほか、年次休暇システム、WEB職員録システム、文書保管システムに存在していた。

　もう1つの問題は、WEB職員録システムのみに存在したもので、ソースコードの中にユーザー名やパスワードといった認証情報がハードコードされていた。管理者がそのアカウントの存在に気づかない一方で、第三者がこのアカウントを用いてシステムにアクセスする可能性があった。

　さらに、長崎県電子県庁システムのWebページによると、SQLインジェクションの脆弱性についても指摘があったという。同県では、一連の問題を修正したソースコードへの置き換えを行っている。