アイデアの問題報告 | デジタル改革アイデアボックス

あなたと創るデジタル社会

デジタル改革アイデアボックス


アイデアの問題報告

対象の内容

行政関連のアプリケーション発行元を確認できるようにしてほしい

# 提案
安全性のためにも、行政関連のアプリケーション(以降アプリ)に電子署名を付与し、そのアプリの発行元が確かに行政のものであることを確認できるようにしてほしい

# 課題と背景
現在、行政関連のアプリに発行元の身元を電子的に確認するための署名がついてないことがある。
例えば、法務省の「申請用統合ソフト」だ。

https://www.touki-kyout...s/sogosoft/summary.html

署名がないと、パソコンのセキュリティ機能によって「不明な発行元」と判定されて実行できない。
例えば、Windows10では「WindowsによってPCが保護されました」とエラーがでる。

これはパソコンの挙動としては正当なもので、アプリが信頼できる組織によるものか確認できなければ、それがPCに害を与えるマルウェアである蓋然性が高いからだ。先の例だと、申請用統合ソフトが本当に法務省のものか、あるいはマルウェアであるか判別できない。

法務省のサイトから直接入手しても、それがマルウェアでないことは保証されない。HPやリンクを改ざんして、リンク先をマルウェアにすることができるからだ。国内でも事例が確認されている

- 改ざんサイトからダウンロードされるEmotet: https://www.daj.jp/security_reports/191017_1/
- 水飲み場攻撃: https://www.otsuka-shok...81%97%E3%81%9F%E3%80%82

エラーを無視することもできるが、本来、発行元不明なアプリの実行時にエラーが出ることは正しい挙動なのだ。それを無視することを繰り返すと、慣れから本当に危険なアプリを実行しようとしたときも無視してしまう

上記のことから、行政関連のアプリに署名の付与を徹底し、利用者およびOSにアプリの発行元をデジタル的にできるようにしてほしい

報告/依頼内容
ページの先頭へ