巷で話題になってるeLTAX。ザックり解析してみた
高木浩光@自宅の日記 - 治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ
話題になってる理由
セキュリティホールの多いJavaの導入が個人情報漏えいの原因になっている
→ Javaやめます
→ なぜか ActiveX を採用
※ ActiveX は IE上でプログラムを実行できるようにできるようにするための技術で、Java以上にセキュリティホールの原因になる技術。
ActiveXのホワイトリストは存在せず、ブラックリストのみでブロックできる。
そのため、特定のActiveXアプリを使うためには、ActiveXを有効にしなくてはいけない。
※そういや、ActiveX管理マネージャーなるものがIE6SP3以降は追加されたんでしたっけ?
Windows 2000以降のOSでIEなんて使わんもんだからすっかり存在を忘れてました・ω・
つまり、Javaより凶悪なセキュリティホールをユーザーに強要しているというわけで絶賛炎上中 ・ω・
注意点としては、アプリそのものにセキュリティホールがあるわけではない点
だから、なんでActiveXじゃダメなのかわかってない人が設計するとこうなる ・ω・;
https://www.eltax.jp/www/contents/1399980039159/index.html (リンク消滅、ただし画像へのリンクは残ってる)
後、致命的なのが、サイトのホワイトリスト追加じゃなくて、インターネット全体にActiveX許可する案内をしていたこと
3/16 9:00時点では修正済み
「XPのIEに存在するマニフェストのあるコンポーネントのアクセス許可」がないので
どう見ても Windows 98 か 2000 の設定ですw。
参考XPとWin7
あちこちに TOPページへのリンクが https://www.eltax.jp/ になっててリンク切れになってるとか
なぜか、電話番号に "-"、住所に半角文字入れたら怒られるとか突っ込みどころも多いのだけど
| <object CLASSID="clsid:FA6F7393-732F-4F03-8868-AC1BD255AFB6" CODEBASE="AxeLTAXApplication.CAB#Version=1,0,0,2" ID="AxeLTAXApplication" style="display: none"> </object> |
問題になってるActiveXがこちら
URLは https://www.portal.eltax.jp/apa/todokede/Application/AxeLTAXApplication.CAB だね
せっかくなので VirusTotal に晒し上げておくよ・ω・
2016年1月27日15:46 に作成された Vista 以降専用バイナリで Visual Studio 2012 Projectとして、開発
ワークスペース名が
C:\jenkins\workspace\Todokede_ActiveXCompile_Job\AxeLTAXApplication\Release\AxeLTAXApplication
となってるので、 jenkins を使って、VC++2012プロジェクトをコンパイルして作ったってことが分かるよ。
XPで動かないようにコンパイルオプション指定してあるようで
ApplicationRecoveryFinished
ApplicationRecoveryInProgress
RegisterApplicationRestart
RegisterApplicationRecoveryCallback
LCMapStringEx
あたりの関数を使ってる(魔改造版Win2000だと動くかもしれないけど、IE6だとJavaScriptがエラー出まくりなのでだめかも)
IsolationAware function called after IsolationAwareCleanup って文字列をデバッガに出力するためだけに
OutputDebugStringA使ってるのが謎だな・・・と思ったら
Microsoft Visual C++ Runtime Library の処理で、OutputDebugStringW使ってることが判明・ω・
IDEのデバッガのログ出力がそのまま残ってるだけらしい。
どうやら、リリース版じゃなくてデバッグ版バイナリみたいだね
文字列ぶっこ抜くと
NEC Secure Ware AES Cryptographic Provider
Melco Standard-9 Enhanced Cryptographic Service Provider
JPKI Crypto Service Provider for Sign
1.2.840.113549.1.1.5 // SHA-1 with RSA Encryption
1.2.840.113549.1.1.11// SHA-256 with RSA Encryption
あたりを使ってるのが分かるよ ・ω・
CMFCVisualManagerOfficeXP/2003
って文字列も出てきて、 Office XP/2003の Visual スタイルを使ってるのも判明、どんだけXP好きなんすか・ω・
ActiveX で本当にいいの?
#IEの拡張保護モードを無効化することを強要する脆弱性付きセキュリティソフトをインストールさせる銀行といい、『使わざる得なかった』って見方をするなら『日本人にセキュリティホールのあるソフトを入れさせるとなにか報酬がある』と考えればいいのかな・ω・?
Translate
毒を食らわば皿までという感じですかね・・・・
猛毒過ぎて死んでしまいます
>ActiveXのホワイトリスト
Per site ActiveX contorolとActiveX filterが有るけど
以前、他人のパソコンのJavaをアップデートしたら怒られたって愚痴を書いたのは、これ関連だと思われ
(電子納税とは別のお役所関連)
週刊東洋経済の記事によると、エルタックスを利用するにはICカード内の電子証明書をカードリーダーで読み込んでブラウザに引き渡さなければならず、そのためにはJavaかActiveXしか選択肢がないそう。
ただJavaは頻繁にアップデートされてるから追従し続けるにも税金使うし。
専用アプリでやろうにも、役所は普通、一般利用者には専用アプリはインストールさせるなって上位方針があるし。
なんかいい方法ないのかね。
Web上でやろうとするからそうなってるだけであって、
SSL使った専用アプリ使えば簡単に実装できます。
ICカードリーダー使ってやるわけですから、WebブラウザではなくPCアプり限定にしちゃえば
よかったんじゃないですかね?
実質ほとんどIEでしか動かないのならブラウザでやる意味はないと思うんですが。