情報処理推進機構：プレス発表：記事：複数のサイボウズ製品におけるセキュリティ上の弱点(脆弱性)の注意喚起

プレス発表

複数のサイボウズ製品におけるセキュリティ上の弱点(脆弱性)の注意喚起

2010年4月20日
独立行政法人情報処理推進機構

　IPA（独立行政法人情報処理推進機構、理事長：西垣浩司）は、複数のサイボウズ製品におけるセキュリティ上の弱点（脆弱性）に関する注意喚起を、2010年4月20日に公表しました。

　これは、複数のサイボウズ製品において、サイボウズ製品に登録した携帯電話以外から、その携帯電話になりすましてアクセスできてしまうというものです。この弱点が悪用されると、サイボウズ製品に保存されている個人情報が悪意あるユーザに漏えいしたり、書き換えられる可能性があります。

　対策方法は「開発者が提供する対策済みバージョンに更新する」、または「開発者が提供する情報をもとに回避策を実施する」ことです。

1．概要

　サイボウズ株式会社が提供する「サイボウズOffice 7 ケータイ」、「サイボウズドットセールス」は、企業内での利用を想定したグループウェア等のソフトウェアです。

　これら複数のサイボウズ製品には、登録した携帯電話以外から、その携帯電話になりすましてアクセスできてしまうセキュリティ上の弱点（脆弱性）があります。この弱点が悪用されると、サイボウズ製品に保存されている個人情報が悪意あるユーザに漏えいしたり、書き換えられる可能性があります。

　脆弱性による影響が大きいことと、サイボウズ製品の普及状況から、この影響を受ける該当製品の利用者が国内に広く存在すると判断し、注意喚起を行いました。

　詳細は、次のURLを参照して下さい。
　 http://cybozu.co.jp/products/dl/notice/detail/0034.html

　最新情報は、次のURLを参照下さい。
　 http://jvndb.jvn.jp/jvndb/JVNDB-2010-000016

　本脆弱性情報は、2010年4月15日に IPA および JPCERT/CC が製品開発者自身から脆弱性および対策情報の連絡を受け、本日公表したものです。

2．脆弱性による影響

　サイボウズ製品に保存されている個人情報が悪意あるユーザに漏えいしたり、書き換えられてしまう可能性があります。

3．対策方法

対策方法は「開発者が提供する対策済みバージョンに更新する」、または「開発者が提供する情報をもとに回避策を実施する」ことです。

4.本脆弱性の深刻度

(1)評価結果

本脆弱性の深刻度	□ I（注意）	■ II（警告）	□ III（危険）
本脆弱性のCVSS基本値		5.8

(2)CVSS基本値の評価内容

AV：攻撃元区分	□ ローカル	□ 隣接	■ ネットワーク
AC：攻撃条件の複雑さ	□ 高	■ 中	□ 低
Au：攻撃前の認証要否	□ 複数	□ 単一	■ 不要
C：機密性への影響　（情報漏えいの可能性）	□ なし	■ 部分的	□ 全面的
I：完全性への影響　（情報改ざんの可能性）	□ なし	■ 部分的	□ 全面的
A：可用性への影響　（業務停止の可能性）	■ なし	□ 部分的	□ 全面的

注）■：選択した評価結果
AV:AccessVector, AC:AccessComplexity, Au:Authentication,
C:ConfidentialityImpact, I:IntegrityImpact, A:AvailabilityImpact

5.本脆弱性のCWE分類

本脆弱性のCWE分類は、「認可・権限・アクセス制御（CWE-264) 」です。

6.参考情報

(1)「情報セキュリティ早期警戒パートナーシップ」について

　ソフトウェア製品及びウェブサイトの脆弱性対策を促進し、コンピュータウイルスやコンピュータ不正アクセス等によって、不特定多数のコンピュータ(パソコン）に対して引き起こされる被害を予防するため、経済産業省の告示に基づき、官民の連携体制「情報セキュリティ早期警戒パートナーシップ」を整備し運用しています（図6-1参照）。

　最新の届出状況は「脆弱性関連情報に関する届出状況（プレスリリース）」を参照下さい。