Lotus Notesのサイトが機密情報を暴露 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.23(水)

Lotus Notesのサイトが機密情報を暴露

国際 海外情報

◆概要:
 IBM社のLotus Dominoソフトウェアを利用する多数のウェブサーバーで、Lotus Notesの設定情報が暴露されている。原因は、Lotusウェブサーバー上のファイルの脆弱性である。

 攻撃者は、ユーザーアカウントやハッシュパスワードなどの機密情報を入手することができる。ハッシュパスワードは、ソルトを使っていない場合が多いため、攻撃者がハッシュパスワードのデータベースに対するディクショナリー攻撃を実行する可能性がある。

 パスワードは、ハッシュ関数を使って暗号化できる。パスワードはネットワークに入力され、ハッシュと呼ばれる固定長のバイナリー値に変換される。MD4、MD5、SHA-1などの暗号化標準は、安全な暗号解読法の条件に適合している。例えばSHA-1は、バイナリー値として160ビット値を作成する(この標準は、米国標準技術局および国家安全保障局によって制定されたもの)。

 攻撃者が160ビットハッシュを解読するためには、2^160=1.5E48のストリングコンビネーションを全て実行する必要がある。これは困難だが、不可能なことではない。よって攻撃者は、データベース内のハッシュパスワードに対するディクショナリー攻撃を実行する可能性がある。この場合、一般的な単語のリストを入手し、全ての単語に対してハッシュ関数を実行する。一部の専門家によれば、攻撃者がハッシュパスワードのデータベースを入手した場合、パスワードの約20パーセントを解読できる可能性があるとのこと。ただし、ソルトを付加したハッシュパスワードは、解読が難しくなる。ソルトとは、ハッシュする前にパスワードに付加するランダムなストリングである。

 ソルトの値は、ハッシュの結果とともにユーザーデータベースに保存される。ソルトストリングの使用により、ディクショナリー攻撃の成功が実質的に不可能になる。また、ソルトを使ってハッシュされたパスワードを解読するには、全ての可能なソルト値に対するハッシュも探さなければならない。

 攻撃者は、Lotus Notes ウェブサーバー上で /catalog.nsf 及び /names.nsf のURLにアクセスして、リモートからデータを入手することがする。また、これらファイルを使って、データベースの構造や使用傾向などの重要な情報をリモート操作で確認できる。尚、これらURL は、Googleなどのウェブサーチエンジンを使い、catalog.nsf 及びnames.nsfのファイル名を検索することで簡単に入手できる。

 また、Lotus Dominoを利用しているウェブサイトを探し、そのサイト上でURLへのアクセスを試みるという攻撃手段もある。

◆情報ソース:
・ iDEFENSE Intelligence Operations, April 09, 2002

◆分析:
 (iDEFENSE 米国) Lotus Dominoは過去にも、セキュリティ問題の発生、及びセキュリティのデフォルト設定の問題が指摘されている。当該問題のインパクトを軽減するには、ソルトを使ったパスワードの暗号化を必ず有効にすること(デフォルトでは無効に設定されている)。また、システムのブート後は、サーバーパスワードが使用されていることを確認する。さらに、ウェブインターフェースへのアクセスを厳しく制限することも必要である。

◆検知方法:
 Lotus Dominoサーバー上で以下のURLにアクセスする。
http://host.com/catalog.nsf
http://host.com/names.nsf

 また、ウェブログを確認し、前述のファイルへのアクセスなどの不審な行動を検出する。

◆リカバリー方法:
 厳重なパスワードポリシーを導入し、ユーザーに直ちにパスワード変更を実施させる。

◆暫定処置:
 Lotus Dominoウェブサーバー(特に管理用ウェブインターフェース)へのアクセスを制限する。

※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【18:56 GMT、04、09、2002】
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 (The Register)

    総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 (The Register)

  2. Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖(The Register)

    Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖(The Register)

  3. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

    AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  4. 来月ビットコインが消え去るかもしれないが、パニックに陥るべきではない(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. 最大手の広告代理店が NotPetya の攻撃からいまだに立ち直れない原因(The Register)

  7. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  8. 専門家「隠されたパケットスニファのスパイ技術が、無数の iPhone と iPad に存在している」~「落ち着いて…Apple のバックドアは誰でも入れるほど大きく開いてはいない」重鎮は語る(The Register)

  9. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

  10. 勤務先の内部情報をダークWebに売る社員、闇のインサイダー取引サービス成長中(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×