（参考） "Password exposure in Lotus Notes" に記載されている情報について

この文書は、米国 IBM 社の資料 ("Response to "Password exposure in Lotus Notes"") を翻訳した参考文書です。日本語環境での検証は行っておりませんのでご注意ください。

問題 (Problem)

"Password exposure in Lotus Notes" において Lotus Notes の非公開デバッグパラメータを使用することにより、id ファイルのパスワードが漏洩する可能性について記載されています。

この notes.ini パラメータはパスワードクオリティのトラブルシューティングを目的として使用し、ユーザーのパスワードをログに出力することが可能です。この機能を有効にするためには、下記の全ての条件を満たすことが必要です。

攻撃者が、各ユーザーのワークステーションにアクセスしてパラメータを設定するか、ポリシーを使用して notes.ini の設定を変更するための管理者権限を持っていること
ユーザーが Lotus Notes クライアントを再起動すること
ユーザーに id ファイルのパスワードを変更するよう誘導すること
攻撃者が debug_outfile で指定されたファイルに出力された情報を入手する手段があること

解決策 (Solution)

一般的に、ユーザーは見覚えのない添付ファイルやスクリプトを実行する際には十分に注意を払い、意図しない notes.ini パラメータが設定されてしまう問題を防ぐことが推奨されます。

また、Lotus Notes の操作制御リスト（ECL）やオペレーティングシステムのセキュリティを強固に設定し、第三者がシステムにアクセスできてしまう危険性を制限してください。

マルチユーザー環境で使用している場合は、マイクロソフト側でのセキュリティ設定により、個人ディレクトリへのアクセスが制御されるようにユーザーアカウントの設定を適切に行ってください。

IBM Lotus では不注意により、このデバックパラメータを短期間 US の Web サイトにて公開していた時期がありましたが、現在はすべての記述が削除されています。

また、Lotus Notes 8.0 / 7.0.3 以降のリリースでこの問題に対する改修を行い、この非公開デバックパラメータ使用できないようにしました。

補足情報 (Supporting Information)

共通脆弱性評価システム（Common Vulnerability Scoring System：CVSS）によるセキュリティ評価値

CVSS Base Score: 1
CVSS Temporal Score: 0.9
CVSS Environmental Score: Undefined*
Overall CVSS Score: 0.9

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the referenced links below.

Base Score Metrics:
Related exploit range/Attack Vector: Local
Attack Complexity: Low
Level of Authentication Needed: Required
Confidentiality Impact: Partial
Integrity Impact: None
Availability Impact: None
Impact Value Weighting: Normal

Temporal Score Metrics:
Availability of Exploit: Functional exploit exists
Type of Fix available: Workaround
Level of verification that vulnerability exists: Confirmed

References:
Complete CVSS Guide
ソフトウェア等におけるセキュリティ上の弱点の深刻度評価の試行について
共通脆弱性評価システム CVSS 概説

CVSS Caluculator:
(英語) Online Calculator
(日本語) Online Calculator