6月20日に明らかになったCNSのパスワード管理の問題について、湘南藤沢ITCは3日(火)、詳細な調査結果を全CNSアカウント宛にメールで連絡した。また、ユーザーの被害を防ぐため、新たにメールアカウントへのログイン履歴確認サービスも提供が開始された。

閲覧可能だった情報


 まず、今回閲覧可能だったパスワードは、ユーザーへの第一報と同じく、

  1. CNS ログインパスワード
  2. CNS IMAP/SMTP-AUTH(メール) パスワード
  3. CNS IPP(プリンター) パスワード
  4. CNS 個人ホームページDB(WebDB) パスワード (利用者のみ)

の4種類であると発表。
 また、今回の発表で新たにメール、プリンター、個人ホームページDBパスワードは平文(暗号化されていない状態のデータ)で保存、閲覧可能だったことが明らかになった。第一報の通り、パスワードはすぐに変更する必要がある。

閲覧の条件


 また、閲覧可能だった範囲も今回のメールで判明。これらの個人情報を閲覧するためには、有効なCNSアカウントが必要であった。実際にCNSアカウントを所有している者、あるいはアカウント情報を得た者しかこれらの情報を閲覧する事はできない。この脆弱性が存在した期間は2007年4月からで、その間個人情報が危険に晒されていた事になる。

ITCの対応


 ITCは今回の件を受けて、管理者以外の閲覧操作を不可にし、パスワードの暗号化保存を実施したほか、今後更にパスワード暗号化の強度を高める事を検討しているという。また、メールのパスワード流出は特に影響が大きいと考えられるため、メールのログ閲覧機能の提供を開始。身に覚えのないログインがないかユーザーにチェックを求めている。

 今回パスワードは一部、平文で保存されていたことも判明し、ユーザーへの脅威は小さいといえない。ユーザーはまずパスワードの変更と、怪しげなログインがないかを確認して自衛に努めて欲しい。