【CVE-2024-6400】Finrotaの決済システムNetahsilatで認証情報が平文保存される重大な脆弱性を確認

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約
FinrotaのNetahsilatにおける認証情報の平文保存の脆弱性
Netahsilatの脆弱性対策まとめ
機密情報の平文保存について
Netahsilatの認証情報保存方式に関する考察
参考サイト

記事の要約

Finrotaのnetahsilatでユーザー名とパスワードが平文保存
CVE-2024-6400として報告された重大な脆弱性
バージョン1.21.10から1.24.03で修正済み

FinrotaのNetahsilatにおける認証情報の平文保存の脆弱性

Finrota社は決済システムNetahsilatにおいて、ユーザー名とパスワードが平文で保存される重大な脆弱性が発見されたことを公表した。CVSSスコア8.2（高）と評価されたこの脆弱性は【CVE-2024-6400】として識別され、特権ユーザーによる機密情報へのアクセスが可能となる深刻な問題となっている。^[1]

この脆弱性は機密データの暗号化が欠如していることに起因しており、データクエリを通じた機密情報の露出リスクが指摘されている。攻撃者は低い権限レベルでも容易にシステムにアクセスでき、ユーザー認証情報が危険にさらされる可能性が高いことが判明した。

Finrota社はこの脆弱性に対処するため、バージョン1.21.10、1.23.01、1.23.08、1.23.11、1.24.03で修正プログラムを提供している。システム管理者は早急なアップデートが推奨され、暗号化処理の実装によってユーザーの認証情報が適切に保護されるようになった。

Netahsilatの脆弱性対策まとめ

項目	詳細
CVE番号	CVE-2024-6400
影響を受けるソフトウェア	Finrota Netahsilat
脆弱性の種類	機密情報の平文保存
CVSSスコア	8.2（高）
修正バージョン	1.21.10、1.23.01、1.23.08、1.23.11、1.24.03
報告者	Kaan ATMACA

脆弱性の詳細はこちら

機密情報の平文保存について

機密情報の平文保存とは、パスワードやクレジットカード情報などの機密データを暗号化せずにそのまま保存することを指す。主な特徴として以下のような点が挙げられる。

データベースやログファイルで生のテキストとして保存
第三者による容易な情報の閲覧や窃取が可能
情報漏洩時の被害が甚大になるリスクが高い

Netahsilatで発見された脆弱性は、ユーザー名とパスワードが平文で保存されており、データクエリを通じて機密情報が露出するリスクが指摘された。CVSSスコア8.2と高く評価されたこの問題は、攻撃者が低い権限レベルでもシステムにアクセスできる危険性をはらんでいたのだ。

Netahsilatの認証情報保存方式に関する考察

Finrotaが提供する決済システムNetahsilatにおいて、認証情報を平文で保存していた問題は情報セキュリティの基本原則に反する重大な設計ミスである。特に金融関連システムにおいて、ユーザー認証情報の適切な暗号化は最も基本的なセキュリティ要件であり、この脆弱性の発見は同社のセキュリティ設計プロセスの見直しが必要になるだろう。

今後予想される課題として、暗号化実装後のシステムパフォーマンスへの影響や、既存データの移行プロセスにおけるリスク管理が挙げられる。これらの課題に対しては、段階的な暗号化の実装や、一時的な二重保存による安全な移行戦略の採用が有効な解決策として考えられるだろう。

Finrota社には今回の教訓を活かし、開発初期段階からのセキュリティレビューの徹底や、定期的な脆弱性診断の実施が望まれる。また、業界全体としても決済システムにおける認証情報の取り扱いに関するベストプラクティスの共有や、セキュリティガイドラインの整備が急務となっているのだ。