ネオジャパンが販売するグループウエア「iOfficeV3」と「desknet's」に「パスワードなしでログインできてしまう」というセキュリティ・ホールのあることが,2003年3月24日,明らかになった。
ネオジャパンは3月25日,iOfficeV3向け修正ファイルの提供を開始した。iOfficeV3の後継製品であるdesknet'sでは,V2.0以前のバージョンにこの問題が存在したが,現在のバージョンでは修正されている。
セキュリティ・ホールの内容は「Cookie情報を書き換えることで,いつでも誰でも他のユーザーになりすましアクセスできてしまう」というもの。セキュリティ専門家のメーリング・リストである「セキュリティホールmemoメーリングリスト」で2003年3月24日に公表された。
このセキュリティ・ホールにより,Cookie情報を変えながら連続してアクセスすれば,短時間に多くのユーザーの情報を盗み出される恐れがある。報告では「この欠陥,および攻撃方法は,ごく標準的なWWW技術の知識を持つ者であれば,容易に思い付くものであり,この欠陥に気付いている者は既に存在するのではないかと考えられる」としている。
今回のケースでは,発見者によるメーリング・リストでの報告の後で,ネオジャパンによる告知と修正ファイルの提供が行われる事態になった。
ベンダーでの告知が行われていない段階で公表した経緯について,発見者の高木浩光氏は,以下のように報告している。ネオジャパンへ約10カ月前の2002年5月22日に問題を報告。その約半年後の2002年12月にdesknet'sでは欠陥が修正された。しかし,その時点ではiOfficeV3の欠陥は修正されず,desknet'sについてもセキュリティ問題の告知がなされていないため,少なくない数のユーザーが,最新版へ乗り換える必要性を認識しておらず,旧バージョンのまま使用していると考えられた。数回にわたる問い合わせの後,ネオジャパンより2003年3月14日,「来週中に公開する」という回答があった。しかし,3月24日朝にいたっても告知は行われなかった。「ベンダーが告知を出していない段階で,こうした商用製品の欠陥について明らかにすることは,様々な理由によりちゅうちょせざるを得なかった。今回の件では,顧問弁護士に相談しながらリスクを判断し,弁護士の助言に従ってベンダーへの問い合わせなどを行い,ようやく,明らかにする決意をした」としている。
ネオジャパンでは「本件の指摘を受けてから,修正ファイルのリリース時期など対応状況の説明を明確にしていなかった。弊社の対応自体が遅くなってしまっていた事は事実であり,そのようになった弊社内の不備な点は,反省すべきことと認識している。本件を真摯に受け止め,一日でも早い対応を心がけ,以後このようなことのないように努めたい」としている。
セキュリティ・ホールの告知について,発見後何日以内に行わなければならないか,明確なコンセンサスがあるわけではない。しかし,米国の公的なセキュリティ対応組織CERT/CCでは,情報公開ポリシーとして,「全てのぜい弱性(セキュリティ・ホール)情報は,ベンダーからの修正ファイルが提供されていない場合でも,CERT/CCに報告されてから45日後に公開する」という方針を公表している。
ネオジャパンによれば,iOfficeとdesknets'sの導入ユーザーは累計で1万4000社を超えるという。
