本件について、HCL Software 製品の該当、非該当状況、修正対応手順等については下記のページ (英語) にて公開しています。今後、更新される可能性があります。お手数ですが最新情報を取得するようにお願いします。
HCL Software では、ソフトウェアベンダーとして当然ではありますが、セキュリティーについて極めて慎重に注意を払い、社内の仕組みの整備と共に各種認証制度の取得を行っています。そのことについてまとめたページを公開しましたのでお知らせします。
2020年3月4日 追記: サポート技術情報: HCL Software に関するセキュリティー情報 を公開しました。
HCL Software では、ソフトウェア・ベンダーの当然の責務として、セキュリティーに最大の注意を払っています。具体的には、HCL Software 製品のセキュリティーを横断的にみる PSIRT (Product Security Incident Response Team、ピーサート) が組織され活動しています。
情報を集約的に提供する場として HCL PSIRT blog が開設されています。サブスクライブもできます。
HCL PSIRT blog: https://support.hcltechsw.com/community?id=community_forum&sys_id=038a2b921b7bb34c77761fc58d4bcb0d
2019年12月23日、GIGAZINEにこのような記事が(なぜか今頃)掲載されました。
諜報機関によるバックドアがIBMのグループウェアに仕込まれていた理由とは? https://gigazine.net/news/20191223-lotus-notes-nsa-backdoor/
ベンダー側として一言だけ触れておきたいと思います。
「バックドア」というのは広義であり、ネットワーク越しに秘密裏に直接侵入することを想起させます。しかし、本件に関して言えば、実際はキーの一部の預託 (Key Escrow) です。
RSA暗号を最初に搭載したのがNotesであったことは有名な話です。出荷されたのは冷戦終了の足音が聞こえ始めた1989年のことです (といっても、当時そうなるとは誰も予想できなかったですし、開発は1984、5年から始まっていることに注意。実質、冷戦の真っ只中でのお話です)。 安全保障上の理由により、北米以外の地域で使われるNotesの鍵のキー長は、北米より24-bit短い40-bitに制限されました。 このことは秘匿されたわけではなく、製品ドキュメントでも触れられていました。実際、管理者が目にする画面にもキー長の制限が分かるようになっていました。 今では消滅してしまいましたが、Lotus Development社が運営する Iris Today というNotesの専門技術を扱うサイトでNotesの暗号のしくみを解説する記事が掲載されていて、24-bitが当局に預託されていることが触れられていました。1990年代後半のことです。
当時のコンピューティング環境では 40-bit でもビジネス上必要十分な暗号強度を持っていました (組織的に膨大なコンピューティング・リソースと頭脳を投入して云々となると話は別ですが)。セキュリティーはつねに安全ではなく、「期限限定のセキュリティー」であるので、絶対に破られないかの議論はあまり意味をなさないでしょう。
ココム規制と同類の話で、輸出するにあたってとられた措置であり、特に機密事項でもない、この界隈の人なら知っていたことでした。 繰り返しになりますが、非常時に備えたキーの預託であり、クライアントに侵入して覗き見するような、あるいは情報が流れ出すようなバックドアではないです。
ちなみに、この制限は今はありません。北米もその他も同じ暗号化レベルです。キーの預託もありません。
当時、キーを預託する、しないで社内が紛糾したという話がありましたが、それは飲み屋話ということで。