サイボウズGaroonに複数の脆弱性、メールやAPIに関する不備で最大CVSS6.9の深刻度、速やかなアップデート推奨

text: XEXEQ編集部

サイボウズGaroonの脆弱性に関する記事の要約
サイボウズGaroonのAPIに関する操作制限不備の脆弱性が発覚
サイボウズGaroonのメールに関するサービス運用妨害の脆弱性
サイボウズGaroonの脆弱性に関する考察
参考サイト

サイボウズGaroonの脆弱性に関する記事の要約

サイボウズGaroonに複数の脆弱性が存在し、CVSSスコア最大6.9の深刻度
脆弱性の種類はメールやAPIに関するものが中心で影響範囲は広い
開発元のサイボウズ株式会社が最新版へのアップデートを呼びかけ
脆弱性報告者への謝辞も添えられ適切な対応がなされている

サイボウズGaroonのAPIに関する操作制限不備の脆弱性が発覚

2024年5月13日、サイボウズ株式会社のグループウェア製品であるサイボウズGaroonに、複数の脆弱性が存在することが明らかになった。脆弱性の種類はメールに関するデータの不適切な取り扱いやAPIに関する閲覧制限不備など多岐に渡る。^[1]

影響を受けるバージョンは、サイボウズGaroon 5.0.0から5.15.2および6.0.0までと非常に広範囲だ。CVSSスコアは最大で6.9と評価されており、悪用された場合のリスクは深刻である。

同社は判明した脆弱性について最新版でのアップデートを強く推奨しているようだ。

サイボウズGaroonのメールに関するサービス運用妨害の脆弱性

サイボウズGaroonでは、メールに関連する複数の脆弱性も確認された。CVE-2024-31399では、細工されたメールを受信するとサービス運用妨害（DoS）状態に陥る可能性があり、CVSSスコアは4.3だ。

また、CVE-2024-31400ではメールからの情報漏えいの脆弱性が見つかっており、こちらもCVSSスコアは4.3と同程度のリスクを持つ。メール機能は中核をなす部分だけに、これらの脆弱性がもたらす影響は小さくないだろう。

同社のグループウェアを利用する組織では、速やかなアップデート適用が求められる。併せてメールの添付ファイルや本文中のリンクを不用意に開かないよう、ユーザーへの注意喚起も欠かせない。

サイボウズGaroonの脆弱性に関する考察

今回のサイボウズGaroonの脆弱性は、クラウドサービスならではのリスクの難しさを浮き彫りにしている。オンプレミス環境と異なり、クラウドではインフラからアプリケーションまでをベンダーに委ねるため、脆弱性対策もベンダー任せになりがちだが、それでは適切なセキュリティ対策を講じることはできない。

ユーザー企業としてはベンダーとの緊密なコミュニケーションを通じて、早期のパッチ適用や代替策の検討など出来る限りの対策を講じる必要がある。そのためにはクラウドサービスの特性を理解し、想定されるリスクシナリオをあらかじめ洗い出しておくことが欠かせない。また、万一の際の対応手順を予めまとめておくことも重要だ。

加えて、ゼロトラストセキュリティの考え方に立脚し、クラウドサービスを過信せずID管理やアクセス制御、暗号化などの対策を多層的に講じることが求められる。特に機密情報を扱うサービスについては、重点的にセキュリティ監査を実施するなどリスクに応じたメリハリのある対策が肝要と言えるだろう。