サイボウズ製品に脆弱性、携帯固有IDでなりすましログイン可能


 情報処理推進機構(IPA)は20日、サイボウズが提供しているグループウェアの携帯電話対応オプション「サイボウズ Office 7 ケータイ」と営業支援システム「サイボウズ ドットセールス」において、なりすましログインを許す脆弱性があるとして注意喚起した。

 脆弱性は、両製品の「簡単ログイン」機能に存在する。同機能は、携帯電話端末の固有IDを用いることで、パスワード入力などの操作不要でログインできるようにするものだ。しかし、ユーザーの携帯電話の固有IDとログインページのURLが第三者に知られてしまった場合、その携帯電話になりすましてPCからログインすることが可能だという。


脆弱性の概要(IPAの発表資料より)

 サイボウズはすでに15日付で脆弱性情報「CY10-04-001」を出しており、対策として2つの方法を挙げている。まず、サイボウズ製品を運用しているサーバーへの外出先からのアクセスは、「サイボウズ リモートサービス」経由に運用を切り替える方法だ。同リモートサービスでは、アクセス元のIPアドレス制限をかけており、携帯端末からのみアクセスを認めるようにしているためだ。

 一方、通常の外部アクセス回線経由でアクセスする運用の場合は、各携帯電話キャリアのIPアドレス帯域をユーザー企業側で確認し、それに基づいてアクセス制限を行うことになる。

 このほか、「サイボウズ Office 7 ケータイ」については、「サイボウズ Office ケータイ 8.0.0」以上へバージョンアップし、パスワードを定期的に変更する運用を行うこと、あわせて前述のIPアドレス制限も行うことを推奨している。

 IPAでは今回、脆弱性の影響の大きさや、サイボウズ製品の普及状況を考慮し、注意を喚起することにした。

 なお、この脆弱性については、セキュリティ研究者の高木浩光氏が自身のブログにおいて、サイボウズに問い合わせた経緯をつづっているが、携帯電話キャリアが公開するIPアドレス帯域の情報がたびたび更新されることから、同様の仕組みによる簡単ログイン機能で確実に安全性を確保することの難しさを指摘している。


関連情報


(永沢 茂)

2010/4/20 18:06