サポート

【重要】FileZen設定内容確認のお願い

FileZenに脆弱性が存在することを確認しました。

FileZenをご利用のお客様は、必ず以下に記す設定をご確認いただき、必要な対策を実施いただきますようお願い申し上げます。

V4.2.2までの脆弱性を利用し、FileZenに侵入された場合、パスワードを窃取する手法があることを確認しました。

現在お使いのFileZenがV4.2.3以降である場合でも、窃取したパスワードと、今回発見した脆弱性を利用することでFileZenへの侵入される恐れがあります。

従いまして、以下に記す対策を実施いただきますよう強くお願い申し上げます。

  1. 1.対策方法

    2. ・システム管理者アカウントのID/Password変更

    ・アクセス制御の再設定


  2. 2.対象製品とバージョン

    3. ・FileZen V3.0.0からV4.2.7までの各バージョン

    ・FileZen V5.0.0からV5.0.2までの各バージョン


  3. 3.確認した脆弱性と影響
    1. (1)確認した脆弱性

      2. OSコマンドインジェクションの脆弱性
      なお、今回確認した脆弱性を「情報セキュリティ早期警戒パートナーシップ」に基づく自社製品の脆弱性として JPCERT/CC を通じて制度に届け出ました。

    2. (2)脆弱性の影響

      3. FileZenのシステム管理者画面にログオンした状態から、FileZenを不正に操作することが可能です。
      この脆弱性を利用した攻撃が成立した場合、FileZenにアップロードしたファイルが窃取される、踏み台にされさらなる攻撃に悪用される可能性があります。

    3. (3)脆弱性の危険性

      4. FileZenをお使いいただくなかで、
      ・アクセス制御設定が意図通りに設定されていない
      ・過去に既知の脆弱性を利用され攻撃被害を受けていたが、そのことに気付かずに認証情報を窃取された
      などの可能性があります。
      この場合、本件に対しFileZenが脆弱な状態であるため、対策手順に従い確認および再設定を実施してください。


  4. 4.脆弱性対応ファームウェア提供時期

    5. 2021 年 3 月 予定

    • 脆弱性に対するファームウェアです。前項に記す危険性はファームウェアでは対応できません。
      必ず、ファームウェア提供を待たず速やかに対策手順の対応をお願いいたします。

  5. 5.対策手順

    6. 対策は、「システム管理者アカウントの認証情報が窃取されているかもしれない」を前提に、
    ・初期アカウント無効化 (5-1)
    ・システム管理者アカウントのID/Password変更 (5-2)
    を実施してください。
    また、外部からシステム管理者によるログインができないよう
    ・システム管理者のアクセス制御に関する設定 (5-3)
    を実施してください。


  6. ※ 設定内容確認ならびに対策において、再起動等は必要なく、システム停止(サービスダウンタイム)は生じません。また、長時間かかるものでもないため全てのお客様にてできるだけ早く実施ください。

    1. 5-1初期管理者アカウント「admin」の無効化

      2. 以下の手順で、初期管理者アカウント「admin」を無効化してください。
      「admin」のみをお使いの場合は、新たにシステム管理者アカウントを作成後、「admin」を無効化します。

      • 新たにシステム管理者アカウントを作成した場合は、「5-3 システム管理者のアクセス制御に関する設定」を忘れずに実施してください。

      <FileZenサービスページ(システム管理者アカウントの作成)>

      1. (1)[管理者]-[ユーザー管理]-[一覧表示](図1)で、システム管理者権限を設定するユーザーを作成します。
        2. 図1 ユーザーの一覧表示
      2. (2)[管理者]-[システム設定]-[管理者設定](図2)で、作成したユーザーにシステム管理者の権限を設定します。
        3. 図2 管理者追加設定
      3. (3)[設定したユーザーでFileZenサービスにログオンして、[管理者]タブにアクセスできることを確認します。

      <システム管理ページ(adminの無効化)>

      1. (4)[サービス]-[サーバー状態]「サービス操作」(図3)で、「FileZenサービスのシステム管理者(admin)に関する操作」の「無効にする」の<実行>をクリックします。
        2. 図3 (システム管理ページ)サービス操作
      1. 5-2システム管理者アカウントのID/Password変更

        2. FileZenのアカウントのID変更はできないため、アカウントの作成とアカウントの削除を行ってください。

        <FileZenサービスページ(システム管理者アカウントの作成)>

        1. (1)5-1(1)から(3)の手順を行い、システム管理者を作成します。

        <FileZenサービスページ(システム管理者アカウントの削除)>

        1. (2)[管理者]-[システム設定]-[管理者設定](図4)で、システム管理者の権限のあるユーザーIDを確認します。
          2. 図4 システム管理者一覧
        2. (3)[管理者]-[ユーザー管理]-[一覧表示] (図5)で、5-2(2)で確認したユーザーを検索し、対象のアカウントの[操作]にある[削除]を押下します。
          3. 図5 ユーザー一覧
        1. 5-3システム管理者のアクセス制御に関する設定

          2. システム管理者のアクセス制御に関する設定は、
          ・アカウントに対する設定
          ・システム設定からの設定
          の2カ所にあります。
          また、システム設定においては、
          ・システム管理者
          ・APIからのアクセス
          ・FileZen Relay Agent
          3カ所すべてを設定する必要があります。

          なお、「アカウントの設定」と「システムの設定」では「アカウントの設定」が優先されますが、設定漏れを考慮し、双方に設定することを推奨します。

        <FileZenサービスページ(システム管理者アカウントに対する設定)>

        1. (1)5-2(2)の手順でシステム管理者アカウントを確認します。
        2. (2)[管理者]-[ユーザー管理]-[一覧表示] (図5)で5-3(1)の手順でシステム管理者アカウントを確認し[操作]にある[変更]を押下します。
        3. (3)[アクセス元IPアドレスの検証]に組織内ネットワークなどの管理者アクセスに必要なIPアドレス(または範囲)を入力します。(図6)
          4. 図6 アカウント設定
        1. (4)[管理者]-[システム設定]-[アクセス制御](図7)で[編集]から設定を行います。
          組織内ネットワークなどのアクセスに必要なIPアドレス(または範囲)を入力します。
          2. 図7 アクセス制御設定

          ・[システム管理者]

          "Webブラウザを利用してアクセスするシステム管理者の接続元IPアドレスを設定します。

          ・[APIからのアクセス]

          API(現在非公開)やFileZen Mobile、およびSoliton SecureBrowser / WrappingBoxのFileZen連携を利用してアクセスするシステム管理者を含めた全てのアカウントが対象です。
          FileZen Mobileを利用し、インターネットからアクセスする場合は、この設定は空欄にし、必ず5-3(1)から(3)の手順で全てのシステム管理者アカウントに対して適切なIPアドレス制限設定を行って下さい。
          Soliton SecureBrowser / WrappingBoxのFileZen連携を利用している場合、Soliton SecureGatewayのIPアドレス(FileZenとの経路上に上位プロキシが存在する場合にはその機器のIPアドレス)を指定してください。
          この機能を利用しない場合は、"127.0.0.1"を設定してください。

          ・[FileZen Relay Agent]

          FileZen Client、FileZen RA、FileZen FileConversionを利用してアクセスするシステム管理者を含めた全てのアカウントが対象です。
          FileZen Client、FileZen FileConversionを利用する接続元IPアドレスを設定します。
          FileZen RA を使用している場合、FileZen RA をインストールしている Windows サーバーの IP アドレスを指定してください。
          この機能を利用しない場合は、"127.0.0.1"を設定してください。

  7. 6.より安全にお使いいただくために

    8. FileZenを安心して、より安全にお使いいただくために以下もあわせて検討ください。

    1. 6-1最新のファームウェアを適用する

      2. 新しいファームウェアには、機能には影響しない修正も含まれます。これらの修正により未知の脆弱性が結果として修正されることがあります。(CVE-2020-5639はこのケースに該当します) そのため、リリースノートを参照し脆弱性修正がないから適用しない、ではなく常に最新のファームウェアを適用することを推奨します。

    1. 6-2シスログを出力する

      2. FileZen V4.2.2以降のバージョンでは、攻撃行為を検知するために有用なログが出力できます。
      攻撃者は攻撃行為を気付かれないように、慎重に長期間侵入することが多くあります。そのため、攻撃発見時には大きな被害を受けていたとならないように、外部サーバーへログを出力することと、ログを監視することを推奨します。
      出力するログの詳細に関しては、「FileZen システム管理ページリファレンスマニュアル」の「付録6 ハードウェア情報/監視ログ ログメッセージ一覧」を参照ください。

    1. 6-3電子証明書認証を利用する

      2. FileZenはクライアント電子証明書の検証を行い、認証をより強化することができます。
      パスワードはそのシステムから漏洩していなくとも、他のシステムから漏洩することもありますので、電子証明書を利用した認証強化もご検討ください。

    1. 6-4FileZen利用ユーザーのパスワードを変更する

      2. 電子証明書認証を利用していない環境では、FileZenだけに関わらず「パスワードは流出するもの」の考えを前提に、利用ユーザーもパスワードを変更することを推奨します。
      また、パスワードを変更する際には、「パスワードを流用しない」「前のパスワードから推測されるパスワードを利用しない」などパスワードの運用にはご注意ください。

用語集

  • FileZen RA

    • Windowsファイルサーバー経由でFileZenプロジェクトフォルダへファイルのアップロード・ダウンロードを自動で行うためのソフトウェア(有償)。

  • FileZen Client

    • WindowsクライアントからFileZenプロジェクトフォルダへファイルをアップロード・ダウンロードを自動で行うためのソフトウェア(有償)。
    コマンドラインから、めるあど便や一部管理系の操作が可能。

  • FileZen FileConversion

    • FileZenプロジェクトフォルダへファイルをアップロードする際、PDFファイルに変換するソフトウェア(有償)。
    通称:FileZen PDFコンバーター

  • FileZen Mobile

    • iOS、Android向けのFileZenのクライアントアプリ(無償)。

  • API

    • FileZenの持つWeb-API。
    以前は案件ベースで一部のお客様に仕様を開示していましたが、FileZen Client等のリリースによりお客様への開示は終了しています。
    FileZen Mobile、およびSoliton SecureBrowser /WrappingBoxのFileZen連携もこのWeb APIを使用しています。

以上

  1. TOP
  2. サポート
  3. ダウンロード