eLTAX(法人向けのeTAX)がセキュリティ的にひどいという話が先日流れてた。
高木浩光@自宅の日記 – 治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ
ここ数年、不正送金の被害がインターネットバンキングの法人口座で急増しているという*1。その原因は今更言うまでもなく、Java実行環境(JRE)やAdobe製品の古いバージョンの脆弱性を突いてくるマルウェアである。しかしそれにしても、法人口座を扱うパソコンがなぜ、Java実行環境やAdobe製品をインストールしているのだろうか。インストールしなければ被害も起きないのに……。
その謎を解く鍵が、eLTAX(地方税ポータルシステム)にあるようだ。eLTAXでは、インターネットバンキングの口座を用いた納税ができることから、インターネットバンキング用のパソコンでeLTAXの利用環境も整えるということが普通になっていると思われる。そのeLTAXが、昨日までは、Java実行環境のインストールを強要していた。
これ読んでひどい有様やなー、企業大変やなーと遠巻きに見てたが、先日就活中の友達から「Javaがインストールできない」とヘルプを求められた。
どうやら就活でWEB試験があり、それをするためにはJava入りのブラウザが必要で、それを用意しようとしてもうまくできないとのこと。
うん、確かにWindows10の標準のブラウザはEdgeになっていて、そしてEdgeはJavaのインストールができない。
Windows 10のブラウザでJavaは実行されますか。
Internet Explorer 11およびFirefoxは引き続きWindows 10でJavaを実行します。Edgeブラウザではプラグインがサポートされないため、Javaは実行されません。
ならばIE使えという話らしいが、普通にパソコンに知識のない人間にそこまで求めるのはねぇ、という感想しか出てこない。
「若い人はパソコンが当たり前のように使える」という話もあるが、それは「ワードやエクセルで文書作成ができる」「ブラウザで情報が検索できる」程度の話である。
「OSの標準以外のブラウザを使って追加でコンポーネントをインストールして、さらにブラウザのセキュリティ設定を適切に変更(低下させる)することができる」スキルなんて普通に持ち合わせてはいないと思う。
それだけでなく、さらには「使用後は不要なコンポーネントを削除してセキュリティレベルを元の状態に復旧する」までできる人はどれだけいることやら。
「WEB試験受けたらマルウェアに感染しましたー(゚q゚)」なんて話になったら企業側はどう責任を取るつもりなのかなー。
そろそろパソコンがなくてスマホだけしかない家庭も出てきてるし、これからは手書き離れどころかパソコン離れすら加速するはず。
スマホではブラウザのJavaが動かないし、企業側もJavaを使わないシステムを作る必要があることをしっかり認識してもらいたいものである。
※ 開発環境としてのJavaは悪くない。AndroidアプリもJavaで書かれてるし。ここで問題にしているのはJavaアプレットの話。
※ 「Javaを使わずに不正受験を防ぐことができるのか?JavaScriptなどでセキュリティの担保ができるのか?」という疑問もあるけど、そもそも不正されまくりなのでそこは問題にすらならない。