結局のところ「ホワイトリスト」とは何なのか：セキュリティクラスタ まとめのまとめ 2016年3月版（2/3 ページ）

「eLTAX」、バージョンの古いJava強制からActiveXに移行して批判の的に

　3月は確定申告の時期ということで、（筆者を含む）たくさんの方が確定申告に追われたことかと思います。確定申告には「e-Tax」という電子申請の仕組みがあり、これを利用された方も多いと思いますが、それと似たような名前の「eLTAX」という地方税関連手続きのためのオンラインシステムがあります。あまり一般の人が使用することはないこのeLTAXですが、3月になり突如注目を集めることになりました。

　eLTAXはこれまでJavaアプレットを使用して各種申請などの機能を提供していたのですが、「最新版の動作確認が間に合っていない」などの理由から利用者に脆弱性のある旧バージョンのJRE（Java Runtime Environment）の使用を求めており、セキュリティ上の問題が指摘されていました。

　そこで3月14日にシステムがリニューアルされ、Java環境を必要としなくなりました。ところが、「これで古いJavaが使われなくなって一安心」ということで落着したかと思いきや、代替となる環境が「ActiveX」だったことが悪い意味で話題を呼びます。

　ActiveXはWindows上のInternet Explorer（IE）のみで使用できるプラグインの仕組みで、ActiveXを許可すれば通常インターネットからは行えないような個人のPCの細かい制御が可能となります。しかし、ActiveXコントロールの設定などによってはセキュリティ面で大きな穴が開いてしまうことにつながるため、「Microsoft Edge」でさえも現在はサポート対象外としているものです。そんな終わりを迎えようとしている仕組みを「なぜ今さら使い始めるのか」という点が多くの批判につながったようです。

　また、公式発表された設定方法にも大きなセキュリティ上の問題がありました。当初掲載されていた利用案内では、IEの設定で「署名済みActiveXコントロールのダウンロード」を「有効」にすることを利用者に求めていたのです。この手順に従えば、警告なしにActiveXコントールがインストールされるようになり、他の悪意あるサイトによる危険なActiveXコントロールのインストールが警告なしに行われることになってしまいます。

　このような状況が多くの人に知れ渡った結果、システムを構築したベンダーなどに対する批判の声も聞かれるようになりました。結局、署名済みActiveXコントロールのダウンロードを有効にすることは利用者に求めないようにマニュアルが書き換わりましたが、いったん動き出したシステムを止めるわけにもいかないようで、ActiveXはこのまましばらく使われ続けるようです。