「簡単ログイン」機能の脆弱性【CY10-04-001】
内容・対象製品・対処方法
■内容
携帯電話の契約者固有 IDを知り得る立場で、ケータイログインページのURLがわかっている場合、簡単ログイン機能を利用し、外部のパソコンなどから、アクセスされる可能性があります。
■対象製品
・サイボウズ Office 7 ケータイ
・サイボウズ ドットセールス
■対処方法
・サイボウズ Office 7 ケータイ
以下のいずれかの対応を行っていただきますよう、お願いいたします。
○IPアドレス制限を行う
・「サイボウズ リモートサービス」をご利用いただく場合
「サイボウズ リモートサービス」を経由する運用を行ってください。
「サイボウズ リモートサービス」では、「サイボウズ Office ケータイ」 にアクセスする際、携帯端末からのみ
アクセスできるように、アクセス元の IPアドレス制限を行っております。
>> サイボウズ リモートサービス
・自社の外部アクセス環境をご利用いただく場合
Web サーバーで、携帯電話からしかアクセスできないよう IPアドレス制限を行ってください。
Webサーバーで、IPアドレス制限をかける場合は、各携帯電話会社のホームページなどをご確認いただき、
各携帯電話会社のサーバーのIPアドレス帯域からのアクセスのみ許可する設定をお願いいたします。
○「サイボウズ Office 8」にバージョンアップを行う
「サイボウズ Office ケータイ 8.0.0」以上のバージョンへ、バージョンアップを行い、パスワードを定期的に
変更する運用を行ってください。
※「サイボウズ Office 8」にバージョンアップおよび、上記の対処を組み合わせて
いただくことをお奨めいたします。
※「サイボウズ Office 7」の「サービスライセンス」をご契約期間中のお客様は無償でバージョンアップして
いただくことが可能です。
また、「サービスライセンス」ご契約期間外のお客様も、「サービスライセンス」を改めてご契約いただく
ことでバージョンアップしていただくことが可能です。
攻撃される可能性、および発生しうる脅威をご確認のうえ必要に応じて、バージョンアップを行ってください。
詳細はこちらをご確認ください。
・「サイボウズ Office 7」からのバージョンアップ
[Windows 環境でのバージョンアップ]
・本体
・ケータイ
[Linux 環境でのバージョンアップ]
・本体
・ケータイ
・サイボウズ Office 8 マニュアル
・パスワードに関する制限を設定する
・サイボウズ ドットセールス
以下のいずれかの対応を行っていただきますよう、お願いいたします。
○IPアドレス制限を行う
・「サイボウズ リモートサービス」をご利用いただく場合
「サイボウズ リモートサービス」を経由する運用を行ってください。
「サイボウズ リモートサービス」では、「サイボウズ ドットセールス ケータイ」にアクセスする際、
携帯端末からのみアクセスできるように、アクセス元の IPアドレス制限を行っております。
>> サイボウズ リモートサービス
・自社の外部アクセス環境をご利用いただく場合
Web サーバーで、携帯電話からしかアクセスできないよう IPアドレス制限を行ってください。
Webサーバーで、IPアドレス制限をかける場合は、各携帯電話会社のホームページなどをご確認いただき、
各携帯電話会社のサーバーのIPアドレス帯域からのアクセスのみ許可する設定をお願いいたします。