【悲報】一部の国内官庁の入札案件でZIP不可LZH必須なケースが相当数ある事が判明

事の始まりは、同僚から、LZH形式でファイルを圧縮する方法を聞かれたことから

|･д･) 「黒猫博士、LZH形式でファイル圧縮するにはどうすればいいんですか？」
|｡･ω･)『ん、LZH？フリーソフト使えばできるけど、今はLZH はセキュリティホールが直ってないことになってるから使っちゃいけない事になってるんだよ？』
|｡･ω･)っ Vector: LZH形式でファイルをご登録いただいている作者のみなさまへ
|｡･ω･)『ほら、フリーソフトで有名なVectorなんかは、6年前にLZHでのアップロードを禁止したんだよ』
|･д･) 「え、そうなんです？でも、お役所の入札案件でフォーマットがLZHに決まってることがあるんですよ」
|｡･ω･)『な、なんだってー！？』

入札説明書等のダウンロード全面開始のお知らせ ：PDF 509KB

うぇ？マジっぽいぞ

|･д･) 「黒猫博士、なんでLZH形式使われてるのにセキュリティ修正されてないんです？」
|｡･ω･)『それはね、作者がセキュリティホール直したんだけど、IPAが、ちゃんと説明もせずに、セキュリティホールが直ったということを認めなくて、お役所から見捨てられたので、作者が怒って以後のサポートを取りやめたから…っていう背景があるんだよ』
|･д･) 「ええええ！？」
|｡･ω･)『詳細は以前ブログにまとめたから見てほしい』
|｡･ω･)っ 国産アーカイブ LHA(拡張子.LZH)の脆弱性が非受理だった理由の個人的見解
|･д･) 「なるほど、IPAがクズだったんですね」
|｡･ω･)『まぁ、一概にそうは言えないけど、公官庁で使われてる重要なファイル形式なのに、説明ろくにせずに見捨てることになった原因はIPAにあるね』

入札・契約に関する様式のダウンロード | 公益財団法人 横浜市建築保全公社
入札詳細| 西沢川　砂防工事（明許）｜入札なう
港湾空港関連入札・契約情報
沖縄総合事務局開発建設部電子入札運用基準

どうやら、『ファイル圧縮を認める場合は、LZH又はZIP形式を指定するものとする』という決まりがあることから、入札によっては「LZH限定」というケースがあるらしい ･ω･；

これ、IPAに謝ってもらった上で、ちゃんと、出すべきところが出資して、LZHの脆弱性を修正してもらうか、LZH使用禁止にすべきじゃないんですかね ･ω･

具体的な危険性。

・入札用ファイルに悪意のあるヘッダのあるLZHファイルを仕込んでおいて、ウィルスに感染させる。
・サイト上の入札ファイルのLZHを改ざんして悪意のあるヘッダのあるLZHにすり替えておき、ウィルスに感染させる。

など

LZH書庫のヘッダー処理における脆弱性について
Windows10 Creators Updateで「LZHの展開ができない」という情報 - まりふのひと