Lotus Notesのサイトが機密情報を暴露 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.12(火)

Lotus Notesのサイトが機密情報を暴露

国際 海外情報

◆概要:
 IBM社のLotus Dominoソフトウェアを利用する多数のウェブサーバーで、Lotus Notesの設定情報が暴露されている。原因は、Lotusウェブサーバー上のファイルの脆弱性である。

 攻撃者は、ユーザーアカウントやハッシュパスワードなどの機密情報を入手することができる。ハッシュパスワードは、ソルトを使っていない場合が多いため、攻撃者がハッシュパスワードのデータベースに対するディクショナリー攻撃を実行する可能性がある。

 パスワードは、ハッシュ関数を使って暗号化できる。パスワードはネットワークに入力され、ハッシュと呼ばれる固定長のバイナリー値に変換される。MD4、MD5、SHA-1などの暗号化標準は、安全な暗号解読法の条件に適合している。例えばSHA-1は、バイナリー値として160ビット値を作成する(この標準は、米国標準技術局および国家安全保障局によって制定されたもの)。

 攻撃者が160ビットハッシュを解読するためには、2^160=1.5E48のストリングコンビネーションを全て実行する必要がある。これは困難だが、不可能なことではない。よって攻撃者は、データベース内のハッシュパスワードに対するディクショナリー攻撃を実行する可能性がある。この場合、一般的な単語のリストを入手し、全ての単語に対してハッシュ関数を実行する。一部の専門家によれば、攻撃者がハッシュパスワードのデータベースを入手した場合、パスワードの約20パーセントを解読できる可能性があるとのこと。ただし、ソルトを付加したハッシュパスワードは、解読が難しくなる。ソルトとは、ハッシュする前にパスワードに付加するランダムなストリングである。

 ソルトの値は、ハッシュの結果とともにユーザーデータベースに保存される。ソルトストリングの使用により、ディクショナリー攻撃の成功が実質的に不可能になる。また、ソルトを使ってハッシュされたパスワードを解読するには、全ての可能なソルト値に対するハッシュも探さなければならない。

 攻撃者は、Lotus Notes ウェブサーバー上で /catalog.nsf 及び /names.nsf のURLにアクセスして、リモートからデータを入手することがする。また、これらファイルを使って、データベースの構造や使用傾向などの重要な情報をリモート操作で確認できる。尚、これらURL は、Googleなどのウェブサーチエンジンを使い、catalog.nsf 及びnames.nsfのファイル名を検索することで簡単に入手できる。

 また、Lotus Dominoを利用しているウェブサイトを探し、そのサイト上でURLへのアクセスを試みるという攻撃手段もある。

◆情報ソース:
・ iDEFENSE Intelligence Operations, April 09, 2002

◆分析:
 (iDEFENSE 米国) Lotus Dominoは過去にも、セキュリティ問題の発生、及びセキュリティのデフォルト設定の問題が指摘されている。当該問題のインパクトを軽減するには、ソルトを使ったパスワードの暗号化を必ず有効にすること(デフォルトでは無効に設定されている)。また、システムのブート後は、サーバーパスワードが使用されていることを確認する。さらに、ウェブインターフェースへのアクセスを厳しく制限することも必要である。

◆検知方法:
 Lotus Dominoサーバー上で以下のURLにアクセスする。
http://host.com/catalog.nsf
http://host.com/names.nsf

 また、ウェブログを確認し、前述のファイルへのアクセスなどの不審な行動を検出する。

◆リカバリー方法:
 厳重なパスワードポリシーを導入し、ユーザーに直ちにパスワード変更を実施させる。

◆暫定処置:
 Lotus Dominoウェブサーバー(特に管理用ウェブインターフェース)へのアクセスを制限する。

※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【18:56 GMT、04、09、2002】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

    死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  2. どこかへ跳んでいけ、出来の悪いラビット(The Register)

    どこかへ跳んでいけ、出来の悪いラビット(The Register)

  3. 米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

    米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

  4. 捜査中だった米大統領選に使用されたサーバのデータが消失(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  7. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  8. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

  9. スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

  10. Mac OS X のシングルユーザモードの root アクセス(2)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×