パスワードを忘れた? アカウント作成
12917675 story
政府

官庁ではまだ使われているLHA 156

ストーリー by hylom
どうしてこうなった 部門より

脆弱性問題から使用が非推奨となっているアーカイバ(圧縮ソフト)のLHA(ファイル拡張子は.LZH)だが、国土交通省の入札説明書等の電子的提供ではLHAがまだ使われている模様(「黒翼猫のコンピュータ日記 2nd Edition」ブログ)。

また、それ以外でもLZH形式の圧縮ファイルで入札関連の情報を公開している組織が複数存在するようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by miyuri (33181) on 2016年09月10日 11時10分 (#3078837) 日記

    また、入手した書類の閲覧には次のソフトウェアが必要になります。 ・PDF閲覧ソフト. ・LZH形式対応の解凍ソフト

    みんな大好き☆Windowsなら、OSが標準で対応していたりするする。
    セキュリティ的には、常識的に考えて問題は無いハズ。

    どうやら、『ファイル圧縮を認める場合は、LZH又はZIP形式を指定するものとする』という決まりがあることから、入札によっては「LZH限定」というケースがあるらしい ・ω・;

    一々、圧縮だとか書庫に突っむとか、行わなくても良さげ。

  • LZHの問題は「悪意のあるエクスプロイトのようなデータを食わされた場合に、そのまま展開される恐れがある」というものなので
    悪意の無い官公庁発のデータを取り扱うのは別に問題ないのではないの?

    そもそも星の数ほどある展開側の対応例を一つ持ち出して、全面禁止とか著しく妥当性に欠けると思う。
  • by miyuri (33181) on 2016年09月10日 12時47分 (#3078891) 日記

    諸君が愛してやまないWindows 10では、普通に『圧縮 (zip形式) フォルダー』を作成できるが、LZHには未対応だから。

  • 一太郎・ロータス123・LHAが三種の神器でしたなぁ。

    とは言え、PCが2世代くらい変わった数年前でも
    しれっと一太郎ビューワーが入っていたのは若干アレでしたが。

    #古いファイルを見るかもしれないってのは分かるんですが、当時は既に外部記録の類は接続禁止だったし。

  • by Anonymous Coward on 2016年09月10日 10時38分 (#3078819)

    例えばこんな感じ

    ファイル形式:
    提出資料のファイル形式については以下のいずれかの形式にて作成すること。
    a.一太郎 2011以下
    b.MicrosoftWord2010以下
    c.MicrosoftExcel2010以下
    d.その他のアプリケーション
    PDFファイルAcrobat10以下
    画像ファイルJPEG形式又はGIF形式
    圧縮ファイルLZH形式のみ ※ZIP等、他の圧縮形式は認めない。

    http://e2ppiw01.e-bisc.go.jp/CALS/Publish/KokaiBunshoServlet?AnkenKanr... [e-bisc.go.jp]

    • by Anonymous Coward

      告示日が平成28年8月4日でいまだにこうなのか。

  • by Anonymous Coward on 2016年09月10日 8時05分 (#3078765)

    ZIPだと中身が表示されるから困る場合があるのかな?
    ダウンロード出来ない的な

    • Re:えーと? (スコア:1, 興味深い)

      by Anonymous Coward on 2016年09月10日 9時07分 (#3078779)

      以前関わった所のお客さんのシステムでも現役でLZHが使われていて、懐かしさと共に驚いたもんですが、使用していた理由はこんなもんでした。
      ・稼動している古いシステム、アプリが対応しているアーカイブがLZH形式のみ
      ・メンテナー兼責任者(元開発者)がDOSerの老害でZIPを認めない

      「今でも動いているから」と稼動しているシステムをリプレースする気がないので、そのままなんですよね。
      多分、似たようなもんなのではないかなぁ。

      親コメント
      • あと、「意味も解らず古文書通りにやってるだけ」で「古文書を読み解いて今様に翻訳できる人がいない」ってのもありそうですな。

        親コメント
      • by Anonymous Coward

        ・メンテナー兼責任者(元開発者)がDOSerの老害でZIPを認めない

        ZIP形式ってもとはDOSのPKZIPだろ。何馬鹿なこと言ってんの?

    • by Anonymous Coward on 2016年09月10日 10時55分 (#3078830)

      LZHに限った話ではないですが、特に主立った理由はないはずですよ。

      日本の官公庁の場合、法律や政令/省令を含め、様々な決定事項は膨大な量の根回し
      (末端の担当者同士の非公式な会話)で成立する構造になっているため、
      後からその決定を覆そうにも、膨大な量の依存関係(=根回しの結果)を解決しなければならず、
      しかもその依存関係はどこにも文書化されていない(文書化されているのは公式の会議のみ)ので、
      スパゲッティ状に絡まりまくったものを丁寧に解くという、
      気の遠くなるような作業から始めなければならないのです。

      従って、政治的に圧力でもかからない限り、変わることはないでしょう。

      親コメント
      • by Anonymous Coward

        タレコミのソース先を見るとどれも建築関係の入札なんですよね。
        電子入札にしてもデータの納入方式にしても、データを納入する方はそういう土木・建築関係の会社。
        比較的規模の大きな企業ならともかく、中小のそういった企業でIT専門の職員はいるわけでもなく事務職が兼務してると思われます。セキュリティといっても業務の電子化が進んでなければIT企業のように敏感になる必要もなく。

        なので従来のやり方を変えるにはお役所の中だけでなく、入札に関与する企業へどう通達して新しい環境を整備させるかもあってちょっと気の遠くなる作業ですね。

        • Re:えーと? (スコア:3, 興味深い)

          by Anonymous Coward on 2016年09月10日 14時02分 (#3078913)

          役所の中の人だが、東証一部の大企業の本社の某部署の人達に、某提出物を暗号化zipで送るよう半ば強制する形でお願いしたけど、なかなか大変だった
          まず暗号化の必要性とその理由を文書を、パスワードの悪い見本など一通りの資料を添えて送ったら、とりあえずご理解は頂けたようで、暗号化zipが届くようになった
          ところが、いざファイルを受け取ってみたら、
           ・パスワードが1文字/会社名/機密としたい事項
           ・ファイル名がパスワード
           ・本文に「パスワードは○○です」と明記
          とか脱力ものでした
          自分で言うのモアレだけど、そこからも悪戦苦闘の日々…
          重要なデータは基本的に会社から役所に届くので、会社側に危機感もってもらわないとどうしようもない
          でも個別具体的な手続きとかはIT部門通さないから、改善図るのはかなり難しい
          もっとも、こちらも情シスを通さない担当ベースで勝手にやってただけだし、とっくに異動した今では「なんでパスワードかけてるの?役所に暗号化ファイル送り付けるとかふざけてるの?」とかなってるかもしれない

          同じようなことは中小企業にもお願いしてたけど、最初からちゃんとできる会社も少なからずあったし、会社の規模や部門は関係ないとおもうよ
          むしろ担当者の危機感や問題意識、ITへの習熟度といったセンスに依存していると思う

          親コメント
    • by Anonymous Coward

      もう ish と tar でええやん

    • by Anonymous Coward

      いまだにWindows XPってこと?

      # 普通にありそうだから困る

  • by Anonymous Coward on 2016年09月10日 8時32分 (#3078773)

    中の文書は署名して改竄しても即バレする位のことはしてるでしょ。
    JPKIを作ってOSベンダーに登録要求するからには、そのくらいは最低でもやるさ。

    • by Anonymous Coward

      そういう話じゃないんだが・・・

  • by Anonymous Coward on 2016年09月10日 8時59分 (#3078777)

    LZH形式対応の解凍ソフトが必要」とは書いてあるけど、「LHAがまだ使われている」なんてどこに書いてあるの?
    解凍ソフト(ウイルス対策ソフト含む)のバグ・脆弱性の問題なので、解凍ソフトが改善されていれば使って問題ないんじゃないの?改善されているかどうかは知らんけど。

    • by Anonymous Coward

      要は改ざんされたヘッダがあると、ウィルス対策ソフトが書庫内のそのファイルorそれ以降の全ファイルを検査しない事があるってのが問題なわけだから、ウイルス対策ソフトが未対応かもしれないのに、安易に改ざんされたヘッダでも解凍できちゃうソフト使うのは不味いんじゃねーかと。

      • by Anonymous Coward

        書庫ファイル内がウィルスチェックされないのは暗号化ZIPも同じじゃね?
        お役所でメールなんかでZIP使うときなんか暗号化ZIP使うだろうし、「書庫内ファイルがウィルスチェックされない」は脆弱性の理由としては違うような。

    • by Anonymous Coward

      リンク先ではちゃんとLZH形式になってるよ。いつものhylomクォリティ。単なる誤字ならまだしもこういう論理的な誤りもたびたびやらかすから本当にたちが悪い。

      • リンク先を見ると、
        > 作者がセキュリティホール直したんだけど、IPAが、ちゃんと説明もせずに、セキュリティホールが直ったということを認めなくて、お役所から見捨てられた

        とあるけど、どういう事?
        あるお役所は、見捨てたけど、別のお役所は未だに使い続けているという事か。
        LZHを使って良いかという事とは別に、サポートしているアーカイバはまだまだあるようですが。

        親コメント
      • 今回は、意味が正反対になっていないだけまだマシでしょうw

        --

        ψアレゲな事を真面目にやることこそアレゲだと思う。
        親コメント
      • by Anonymous Coward

        また hyrom の余計な書き換えか

        ちょっと Kazekiri、おたくの従業員なんとかしなさいよ
        情報セキュリティ関係でこういうのはまずいよ

        • by Anonymous Coward

          headlessでも直してくれればよいんだけど、身内に気を遣って正しい事ができない感じ?

      • by Anonymous Coward

        > LHAがまだ使われている模様
        「模様」ってのは推測を示すわけだから、LZH形式が採用されてるならLHAも使われてるかも知れないって意味じゃない?
        論理的な誤りってなんなのかわからないんだけど、そこまで指摘するならちゃんと根拠があるのかな?説明して欲しいな。

        それに、こういうのは記者の雑感だと思うから特に問題があるようには読めないんだけど?

      • by Anonymous Coward
        リンク先で知ったけど、LHa作者の吉崎さんって今も現役医師(というか院長)なんですね。
        aptとかsvnとかでメジャーになったsubcommand方式って、LHAで発明されたもんでしょ。
        当時はファイル名やオプション指定ではない文字列を、コマンド引数として与える発想が無かった。
        • by Anonymous Coward on 2016年09月10日 20時07分 (#3079030)

          当時はファイル名やオプション指定ではない文字列を、コマンド引数として与える発想が無かった。

          echoコマンドすら知らん人かな?

          親コメント
        • by Anonymous Coward

          aptとかsvnとかでメジャーになったsubcommand方式って、LHAで発明されたもんでしょ。
          当時はファイル名やオプション指定ではない文字列を、コマンド引数として与える発想が無かった。

          うわ馬鹿がいる

    • by Anonymous Coward

      1. 安全ではない解凍ソフトが存在するから非推奨
      2. メジャーな解凍ソフトに脆弱性があるから非推奨
      3. メジャーな解凍ソフトの脆弱性が解決されたけど、それを役所が確認せず非推奨のまま放置
      4. セキュリティソフトが対応していないことがあるから非推奨

      1ではないよな。それじゃ使えるアーカイブ形式なんて存在し得ない。

      リンク先を読むと、2から3に遷移したような話なのかな?
      差し迫った実在の危険が有るわけではないけど、「こっちの役所が危ないと言ってるのに、こっちの役所は使えと言いよる」というツッコミ。
      あるいは、少なくともオリジナルのソフトについては直ってるけど、直ってないメジャーなソフトが多いから2のまま?

      4は、セキュリティソフトのベンダーが悪いと言うことになるかな。
      どマイナーな形式にまで対応しろとは言わないけど、日本のお役所様が使うとおっしゃってるソフトぐらいには対応しやがれよ、と。
      …うわぁ、市場価値が小さそうなお仕事。

  • by Anonymous Coward on 2016年09月10日 10時00分 (#3078803)

    「まったく、お役所は進歩というのがないのか」(XPを使いながら)

    • by Anonymous Coward on 2016年09月10日 10時39分 (#3078820)

      「お役所はセキュリティ意識が低いな」(Windows2000を使いながら)
      #Xpは使用制限がかかり、毎年廃棄台数の目標が設定されているけど、Xpより前のOSなら制限対象外。 らっきー!
      ##本当は廃棄したいけど、そのPCに入っている装置制御ソフトのメーカーが倒産してしまい、新OSに移行できないのよね

      親コメント
  • by Anonymous Coward on 2016年09月10日 10時50分 (#3078824)

    セキュリティ云々よりも圧縮率のことを考えて
    せめてbzip2、できれば7zipあたりが標準になってほしいもんです。

    • by Anonymous Coward

      メールの添付ファイルだとわりと容量制限が厳しいですしねえ。

    • by Anonymous Coward

      ファイルフォーマットではなくソフトウェア名で語る頭の悪さはhylom並。

  • by Anonymous Coward on 2016年09月10日 11時22分 (#3078844)

    まだご存命か。

  • by Anonymous Coward on 2016年09月10日 11時30分 (#3078848)

    日本向けにこんなのもありましたね。
    https://support.microsoft.com/ja-jp/kb/900990 [microsoft.com]

typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...