セキュリティ

SECURITY

公開：2025-03-29

【CVE-2025-30344】OpenSlides 4.2.5未満にログイン認証の脆弱性、ユーザー存在の判別が可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• OpenSlides 4.2.5未満にログイン時の応答時間の脆弱性
• パスワードハッシュ化の省略により100ミリ秒以上の時間差が発生
• ユーザー存在有無の判別が可能になる深刻な問題

OpenSlides 4.2.5未満のログイン認証における脆弱性

Intevation社が開発するOpenSlidesにおいて、バージョン4.2.5未満の/system/auth/login/エンドポイントでユーザーログイン時に重大な脆弱性が発見された。この脆弱性は2025年3月21日に【CVE-2025-30344】として公開され、システムの応答時間の違いによってユーザーの存在有無が判別可能になる問題を引き起こしている。^[1]

脆弱性の主な原因は、パスワードのハッシュ化処理が省略されることにより、システムの応答時間に100ミリ秒以上の差が生じる点にある。この時間差によってユーザーアカウントの存在有無が特定されるため、攻撃者による不正アクセスのリスクが高まることが懸念されている。

CVSSスコアは5.3（MEDIUM）と評価され、攻撃元区分はネットワーク、攻撃条件の複雑さは低いとされている。この脆弱性は特権レベルやユーザーの関与を必要としないため、攻撃者による悪用の可能性が高く、早急な対応が求められる状況となっている。

OpenSlides 4.2.5未満の脆弱性概要

Observable Timing Discrepancyについて

Observable Timing Discrepancyとは、システムの処理時間の違いを観察することで、内部状態や情報を推測できる脆弱性のことを指す。主な特徴として以下のような点が挙げられる。

• システムの応答時間の差異から情報漏洩が発生
• ユーザー認証や暗号処理での時間差が攻撃に悪用される
• サイドチャネル攻撃の一種として分類される

OpenSlidesの事例では、パスワードハッシュ化処理の有無による応答時間の差異が、ユーザーアカウントの存在確認に悪用される可能性がある。この種の脆弱性は、処理時間を一定にする対策や、ダミー処理の追加によって防御することが一般的だ。

OpenSlides 4.2.5未満の脆弱性に関する考察

OpenSlidesの認証システムにおける時間ベースの脆弱性は、ユーザーアカウントの列挙攻撃を容易にする深刻な問題である。特に処理時間の差異が100ミリ秒以上と比較的大きいため、ネットワークの遅延やジッターの影響を受けにくく、攻撃の成功率が高くなる可能性が懸念されるだろう。

この脆弱性への対策として、パスワードハッシュ化処理を常に実行することや、ダミーの処理時間を追加して応答時間を均一化することが考えられる。また、アカウント列挙攻撃の検知や防御のため、アクセス制限やレート制限の実装も重要な解決策となるだろう。

今後は認証システムの設計段階から、timing attacksを考慮したセキュリティ対策の実装が求められる。特にパスワード処理における時間的な特徴を排除し、すべての応答に対して一定の処理時間を確保することで、より安全な認証システムの実現が期待される。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-30344, (参照 25-03-29).
1145

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧