脆弱性対策 : 「OpenPNE」におけるセキュリティ上の弱点（脆弱性）の注意喚起

　「OpenPNE」は、株式会社手嶋屋が中心となり、オープンソースで開発されている、ソーシャル・ネットワーク・サービス構築ソフトウェアです。「OpenPNE」では、パソコン用のウェブサイトだけではなく、携帯電話用のウェブサイトも作成することができます。「OpenPNE」の携帯電話用のウェブサイトにユーザが自分の携帯電話を登録しておくと、ユーザが自分の専用画面に簡単にアクセスすることができます。

　「OpenPNE」には、登録した携帯電話以外から、その携帯電話になりすましてアクセスできてしまうセキュリティ上の弱点（脆弱性）があります。この弱点が悪用されると、「OpenPNE」に保存されている個人情報が悪意あるユーザに漏えいしたり、書き換えられる可能性があります。

　脆弱性による影響が大きいことと、「OpenPNE」の普及状況から、この影響を受けるソーシャル・ネットワーク・サービスのウェブサイトが国内に広く存在すると判断し、注意喚起を行いました。

　詳細は、次のURLを参照して下さい。
http://www.openpne.jp/archives/4612/

　最新情報は、次のURLを参照下さい。
http://jvndb.jvn.jp/jvndb/JVNDB-2010-000006

　本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき、2010年2月23日に以下の報告者からIPAが届出を受け、 JPCERT/CC（一般社団法人JPCERT コーディネーションセンター）が製品開発者と調整を行ない、2010年3月5日に公表したものです。
　報告者：高木浩光 氏

　「OpenPNE」に保存されている個人情報が悪意あるユーザに漏えいしたり、書き換えられてしまう可能性があります。

　対策方法は「開発者が提供する対策済みバージョンに更新する」、または「開発者が提供する情報をもとに回避策を実施する」ことです。

(1)評価結果

(2)CVSS基本値の評価内容

注）■：選択した評価結果
AV:AccessVector, AC:AccessComplexity, Au:Authentication,
C:ConfidentialityImpact, I:IntegrityImpact, A:AvailabilityImpact

　本脆弱性のCWE分類は、「認可・権限・アクセス制御（CWE-264）」です。

(1)「情報セキュリティ早期警戒パートナーシップ」について

　ソフトウェア製品及びウェブサイトの脆弱性対策を促進し、コンピュータウイルスやコンピュータ不正アクセス等によって、不特定多数のコンピュータ(パソコン）に対して引き起こされる被害を予防するため、経済産業省の告示に基づき、官民の連携体制「情報セキュリティ早期警戒パートナーシップ」を整備し運用しています（図6-1参照）。

　最新の届出状況は 「脆弱性関連情報に関する届出状況（プレスリリース）」 を参照下さい。

図6-1．「情報セキュリティ早期警戒パートナーシップ」の基本枠組み

プレスリリースのダウンロード

本件に関するお問い合わせ先

報道関係からのお問い合わせ先

更新履歴