シスコ、セキュリティ脆弱性を公表

　Cisco Systemsは、同社の通信ソフトウェアとセキュリティツールに見つかった脆弱性に関し、攻撃者がネットワークにアクセスできてしまう可能性があるとの警告を発した。

　同社は米国時間15日、自社ウェブサイトに勧告を掲載し、Cisco Unity統合通信ソフトウェアのバージョン2、3、4に影響を及ぼすこの脆弱性を顧客に警告した。同社はまた、企業をDoS（サービス拒否）攻撃から守るツール、Cisco Guardに見つかった同様の問題についても警告している。

　Cisco Unityは、ユーザーがインターネットから電話を介して電子メールを読み上げさせたり、音声メッセージをチェックできるようにする統合型の通信ソフトウェア。これをサードパーティー製のファックスサーバと統合すれば、受信文書を近くのファックスに転送することもできる。

　Cisco Unityに見つかった問題は、MicrosoftのExchangeプログラムと統合した場合に、同ソフトウェアがデフォルトのパスワードで利用できるユーザーアカウントを作成してしまうというもの。Unityのインストール時にパスワードを変更しないと、外部のユーザーがログオンし、送受信される電子メールを読めるようになってしまう。また、同時に一部の管理機能も利用可能になってしまう。

　Ciscoは15日、自社ウェブサイト上に解決方法を掲載したが、このうち最も簡単な対処方法は、これらのアカウントのデフォルトパスワードを変更することだ。デフォルトのパスワードが付いたままで変更が必要なアカウントは、同社ウェブサイトに掲載されている。

　Ciscoによると、2005年第1四半期にリリース予定の新バージョン、Cisco Unityバージョン4.0(5)では、この問題は解決されているという。

　Ciscoは、10月にも自社の統合通信製品用のセキュリティアップグレードをいくつか発表し、具体的には音声メッセージのセキュリティ改善を行っていた。

　Ciscoはまた、Cisco Guardの脆弱性についても警告している。Cisco Unity製品同様、Cisco Guardにもデフォルトでユーザー名とパスワードが割り当てられている。Cisco Guardの3.1より前のバージョンが影響を受けるこの問題は、これらの設定を変更すれば解決できる。この問題の詳細と解決方法についてはCiscoのウェブサイトに情報が掲載されている。

　DoS攻撃を受けると、ネットワークに膨大な数のパケットが送りつけられて、スイッチ、ルータ、サーバでは処理が滞り、継続的に再起動してしまう。Cisco Guard製品はトラフィックの異常を検知し、攻撃対象になったサーバを保護するためにこのトラフィックを迂回させる機能を持つ。