日本を変える「テレワーク」
コラム
» 2020年09月08日 07時00分 公開

他山の石:「急遽テレワーク導入」に落とし穴 国内約40社が被害「VPN不正アクセス事件」が他人事とは限らない理由 (1/3)

8月下旬に「パルセキュア社のVPN製品の脆弱性を突かれて、認証情報などが盗まれてしまい、ネット上で公開された」という事件がメディアを賑わせた。この一件にはいくつか他山の石にしたいポイントがある。

[高橋睦美,ITmedia]

 新型コロナウイルスの感染拡大に伴い、リモートワークが広がる中、8月下旬に「VPN(Virtual Private Network)のアカウント情報が盗まれ、ネット上で公開された」という事件がメディアを賑わせました。VPN接続に利用されるパルセキュア社の製品の脆弱(ぜいじゃく)性を突かれてアカウント情報が盗まれたというものです。世界で約900社が被害を受け、中には約40社の日本企業も含まれていました。新聞の一面を飾ったこともあり、「うちの会社は大丈夫か? 同じような攻撃を受けないか?」と不安に感じた読者もいるのではないでしょうか。

 もしかすると「このベンダーの製品を使っていないから大丈夫」と思われた方もいるかもしれません。ですが、実はそうとは限りません。この一件にはいくつか他山の石にしたいポイントがあります。

photo 写真はイメージです(提供:ゲッティーイメージズ)

狙われる「閉じられない、止められないサービス」

 前置きになりますが、今回話題になった製品「Pulse Connect Secure」以外の機器を利用していても、安心というわけではありません。

 実はパロアルトネットワークス、フォーティネット、シトリックスといったベンダーが提供する多くのVPN製品でも、悪用されるとリモートから任意のコードを実行されたり、今回のように認証情報などを取得されてしまう恐れのある脆弱性が以前から指摘されています。すでに攻撃用に使えるコードも公開されていて、単に大きく報道されていないだけで、同様の攻撃を受けている可能性もあります。この製品を使っていないからといって安心するのではなく、いま一度棚卸しと脆弱性の有無を確認する必要があるでしょう。

 さて、今回の件で考えさせられるポイントの1つ目は、こうしたVPN機器をはじめ、外部に公開せざるを得ないサービスをどのように守るかという昔からある課題です。

 今回悪用されたのは、テレワークの導入に伴って存在感を増したVPN製品「Pulse Connect Secure」の脆弱性でした。テレワークを行う以上、社内だけに閉じるわけにはいかないという環境が狙われてしまったのです。被害に遭ったいくつかの企業は「内部侵入は確認されなかった」としていますが、過去にはVPN経由で不正侵入され、データを消去される被害にあったケースも発生しています。

 しかも、外部からのリモートアクセスを許さざるを得ない「入り口」は他にも存在しています。

 典型的な例が、外部からのリモート接続に用いられる「RDP」(Remote Desktop Protocol)と呼ばれるサービスです。過去にはパスワードを総当たり攻撃で破られるという不正アクセス被害が発生した他、「Bluekeep」と呼ばれる深刻な脆弱性も指摘されています。修正しなければ、同様の被害に遭ったり、ランサムウェアを送り込まれたりする可能性は否定できません。

 不要なポートやサービスは停止することがセキュリティの鉄則ですが、企業が業務を継続するのに不可欠な閉じるわけにいかないポート、サービスはどうしても存在します。攻撃者はそこを狙ってくることを前提に、認証を強固にしたり、しっかり監視を行ったりしてリスクを下げる必要があるでしょう。

「急きょテレワークへ移行」に潜んでいた落とし穴

 次に今回の件で感じたのは、環境を変えたり、イレギュラーなことが起きたときほど要注意だということです。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

アクセスランキング
  • 本日
  • 週間

    Digital Business Days

    - PR -