法務省オンライン申請システムにおいて利用可能な「JRE」のバージョンアップ方法について

重要】法務省オンライン申請システムにおいて利用可能な「JRE」のバージョンアップ方法について （平成１９年６月２８日）
http://shinsei.moj.go.jp/new/new_top.html

Java 2 Runtime Environment,（以下「JRE」という。）SE v 1.4.2_14へのバージョンアップ方法について、次のとおりご案内いたします。
　　なお、従前のJRE1.4.2_11でも法務省オンライン申請システムの利用は可能ですが、既にお知らせしたとおり、同バージョンの脆弱性を狙ったエクスプロイトコード（実証プログラム）が公開されておりますので、ご利用の皆様には、次の手続に従い、必ずJREのバージョンアップをお願いいたします。

法務省オンライン申請システムの新着情報

平成１９年６月２９日（金）から、法務省オンライン申請システムにおいて、Java 2 Runtime Environment,SE v 1.4.2_14を利用いただけるようになります。

バージョンアップ方法等の詳細は、別途、ご案内いたします。

法務省オンライン申請システムの「新着情報」

馬鹿なことを書いています。
サン・マイクロシステムズ社が脆弱性を認めているバージョンについて、これから作動検証を始めるそうです。

http://shinsei.moj.go.jp/new/new_top.html
【重要】JRE1.4.2_11に関するエクスプロイト対応のための緊急措置について （平成１９年６月２２日）

法務省オンライン申請システムにおいては、Sun Microsystems社（以下「サン・マイクロシステムズ社」という。）のソフトウェアであるJava 2 Runtime Environment,（以下「JRE」という。）SE v1.4.2_11を利用しているところですが、本月に入り、JRE1.4.2_11を含むいくつかのJREのバージョンの脆弱性を狙うエクスプロイト（実証プログラム）が確認されたと一部報道がありました。

一方、サン・マイクロシステムズ社は、現在の最新バージョンであるJRE1.4.2_14につきましても脆弱性の存在を明らかにしておりますが（※サン・マイクロシステムズ社ホームページ＜http://sunsolve.sun.com/search/document.do?assetkey=1-26-102934-1＞ 、上記エクスプロイトに関しては、JRE1.4.2_13以降のバージョンであれば、その影響は回避できることから、当省としましては、当面の措置として、JRE1.4.2_14によっても法務省オンライン申請システムを利用いただけるよう今月中に準備いたします。

JRE1.4.2_14への対応準備が整い次第、ホームページ上で御案内いたしますが、御利用者の皆様には、それまでの間、下記のとおり対応をいただきますよう、お願い申し上げます。

なお、当省におきましては、引き続き、サン・マイクロシステムズ社が公表しているJRE脆弱性を解消するための準備が整い次第、御案内してまいりますので、利用者の皆様には御理解いただきたく、お願い申し上げます。　　　　　

記

法務省オンライン申請システムの利用に当たっては、法務省認証局自己署名証明書のダウンロードを行い、保存した後、フィンガープリントの確認を必ず行い、法務省オンライン申請システムのプログラムをインストールしてから、そのプログラムに登録（インポート）していただくこととしていますが（事前準備操作ガイド ＜https://shinsei.moj.go.jp/download/man/zyunbi_manual.pdf＞の６～１２ページ、３４～３７ページ）、このような事前準備を行っている場合には、万が一、法務省オンライン申請システムの偽サイトなどに接続した際に、接続しているサイトやダウンロードしているプログラムの信頼性に疑いがある旨のメッセージが表示されることで、注意喚起が行われる仕組みになっています。法務省オンライン申請システムに接続している際に、上記のようなメッセージが表示された場合には、真正な法務省オンライン申請システムに接続しておらず、上記エクスプロイトによる影響を受ける恐れがありますので、直ちに利用を中止してください。

※　法務省が発行した自己署名証明書がインポートされており、真正な法務省オンライン申請システムに接続している場合には、信頼性を疑うメッセージはでません。ただし、セキュリティソフトをインストールしているなど、御利用者のパソコン環境設定によっては、自己署名証明書がインストールされていても警告メッセージがでる場合があります。

ＪＲＥの脆弱性について

JRE 6 Update 1（1.6.0_01）をインストールして、法務省オンライン申請システムの作動を確認しました。

登記申請、電子公証は利用可能です。

オンライン申請システムにログインし、電子署名することもできました。
なお、登記情報提供サービスの内、地図情報を表示するには、Ｉ/Ｏ　Ｔｏｏｌｓを追加でインストールする必要があります。

ＪＲＥの脆弱性について、

開発者であるSun Microsystemsは（日本語で）セキュリティに関わるアップデート提供すべきであり、Sun Microsystems が日本向けに適切な情報を提供していないのであれば、ＪＲＥの利用を要求しているオンライン申請システムの管理者（法務省だけでなく政府全体）は、利用者に対して、Sun Microsystemsの英語のページを紹介するだけでなく、わかりやすい日本語での情報と対策方法を提供すべきです。

法務省オンライン申請システムの事前準備の説明では、J2SE1.4.2_11以外では利用できませんと説明しています。

私のパソコンは、1.5.0_6がインストールされており、オンライン申請システムを支障なく利用できている。法務省の説明は、「作動確認ができていません。」ということのようです。

推測ですが、法務省は、発注時に、「JRE 1.4.2_11 での作動を保証すること」といった要件を出しているのではないか？
そのために、ＪＲＥがアップデートされても、「動作を保証できない」という答えしかできず、正常に動くかもしれない可能性と脆弱性回避についての検証をしていないではないか？

ＪＲＥのバージョンアップに対し、動作検証に長期間要するのは予算を確保するところから始めているのではないか？


ＪＲＥをインストールさせている官庁（法務省だけでなく政府全体）には、ＪＲＥに脆弱性が見つかるたびに、日本語で、わかりやすい対応策を告知する義務がある。と、思う。

JREの脆弱性

ＪＲＥの脆弱性について情報です。
http://headlines.yahoo.co.jp/hl?a=20070607-00000098-zdn_ep-sci

Sun Microsystemsは5月31日付で、Javaの実行環境「Java Runtime Environment（JRE）」に2種類の脆弱性が存在することを明らかにした。悪用されると、信頼できないアプレットやアプリケーションの権限昇格につながる恐れがある。

　脆弱性が存在するのはJDK／JRE 6、JDK／JRE 5.0 Update 10以前、SDK／JRE 1.4.2_14以前およびSDK／JRE 1.3.1_19以前だ。

　1つめの脆弱性は、画像処理コード（ICCパーサー）に存在するバッファオーバーフロー。悪用されると、信頼できないアプレットやアプリケーションの権限が昇格し、本来ならばアクセスできないはずのローカルファイルの読み書きが可能になったり、ローカルアプリケーションを実行されたりする可能性がある。もう1つの脆弱性は、Java Virtual Machineのハングアップにつながるという。

　Sunでは問題を修正したJDK／JREをリリース。JDK／JRE 6 Update 1以降、JDK／JRE 5.0 Update 11以降もしくはSDK and JRE 1.3.1_20以降にアップデートするよう推奨している。

法務省オンライン申請システムの「新着情報」には、まだ、何の記載も無い。
何らかの対応策を知らせる必要があると思う。

「過払い金」、その後の借金に充当ＯＫ 最高裁が初判断

「過払い金」、その後の借金に充当ＯＫ　最高裁が初判断
2007年06月07日11時30分
http://www.asahi.com/national/update/0607/TKY200706070136.html

裁判所、判例検索のページ
http://www.courts.go.jp/search/jhsp0030?action_id=dspDetail&hanreiSrchKbn=02&hanreiNo=34782&hanreiKbn=01

判決全文
http://www.courts.go.jp/hanrei/pdf/20070607111814.pdf