テレワーク環境が狙われる! VPN機器を狙ったサイバー攻撃を防ぐ3つのポイントとは――ラックが提言
テレワークを支えるVPN機器を狙ったサイバー攻撃が増加していることから、ラックは、セキュリティインシデントを防ぐための3つのポイントを提言。“脆弱なまま”で放置されているVPN機器がないかどうかをあらためて調査し、速やかに対応する必要がある。
この記事は会員限定です。会員登録すると全てご覧いただけます。
ラックは2020年9月8日、VPN機器を狙ったサイバー攻撃によるセキュリティ事故を防ぐための3つのポイントを提言したテクニカルレポートを発表した。
テレワーク環境を狙ったサイバー攻撃が増加
「Withコロナ」時代の働き方として在宅勤務などのテレワークを継続的に実施するには、社外から業務システムにアクセスできるVPN環境を安全に保つことは、企業活動の生命線といえる。
一方、2019年の夏ごろから、VPN機器の脆弱(ぜいじゃく)性を悪用する攻撃が増えているという。ラックでは、これまでに報告されているVPN機器の脆弱性の例として、Fortinetの「FortiOS」の脆弱性(CVE-2018-13379)、Pulse Secureの「Pulse Connect Secure」の脆弱性(CVE-2019-11510)、Citrix Systemsの「Citrix ADC(Application Delivery Controller)」および「Citrix Gateway」の脆弱性(CVE-2019-19781)を挙げている。これらの脆弱性は既にベンダー側で修正され、バージョンアップを行うことで対策できるようになっている。
しかし、それを怠ったため、機器の脆弱性を悪用され、VPN接続に用いられる認証情報が漏えいし、ネットに公開されるという事件が発生した。2020年8月に報道されたこの情報漏えい事件は、Pulse Secure製品の脆弱性(CVE-2019-11510)を悪用したと考えられており、脆弱性情報の公開から攻撃を受けるまでにかなり時間が経過していたことから「対策する余裕もなく、すぐに攻撃を受けた」というわけではなかったとみられている。
日本は犯罪者の標的になりやすい?
脆弱性の影響を最小限にするには速やかなアップデートを行うことが求められるが、アップデートを見落としなどにより、脆弱性対策がされないままの危険な状態にあるVPN機器は少なくないという。
Pulse Secure製品の脆弱性については、アップデートされていない機器が多数存在することを示唆する資料がセキュリティ企業Bad Packetsから公開されている。
この資料には、Pulse Secureの脆弱性(CVE-2019-11510)の影響を受ける機器の対策状況が記載されている。それによると、米国や英国、ドイツなどの諸外国では脆弱性公表から最初の1週間で2〜5割の製品がアップデートされている中、日本では1割にも満たないことに加え、脆弱性公表から7カ月たった2020年3月下旬の時点でも、諸外国と比較して日本の脆弱性アップデート対応率は低いままとなっている。
Pulse Secure製品の脆弱性の対応状況(引用元:Over 14,500 Pulse Secure VPN endpoints vulnerable to CVE-2019-11510 - Bad Packets)一方、攻撃者目線では、この脆弱性を悪用すれば、企業ネットワークに侵入する足掛かりを得ることができる。脆弱性情報の公開から半年後でも世界で1000台以上の機器が脆弱なままであり、その間、攻撃コードはインターネットに公開されている状況にある。
通常、標的型攻撃を成功させるには、攻撃メールを開封してしまうなど、従業員のアクションを必要とするが、リモートからの攻撃にその必要はなく、攻撃をする側が好きなときに仕掛けるだけで必要な情報を得られるため、攻撃の標的としてうってつけだといえる。
ラックのセキュリティ監視・運用センター「JSOC(ジェイソック)」が監視するユーザーのネットワークでも、Pulse Secureの脆弱性(CVE-2019-11510)を狙った攻撃は多数観測されており、2020年8月時点でも発生し続けている(下図参照)。脆弱性情報の公開から1年たっても攻撃が行われているということは、攻撃をするメリットがある、つまり対策がされておらず、攻撃が成功する環境がまだあることを示唆している。
対策が遅れる理由とは?
関連記事
テレワークかどうかは、もはや関係ない? 三菱重工のインシデント報告から学べる「IT管理者あるある」な反省点
テレワークが普及する中、セキュリティ対策に追われる組織や企業は多いのではないでしょうか。三菱重工が公開したインシデントレポートは、まさにテレワーク「あるある」の状況で起こった攻撃を明らかにしています。しかし、その中で挙がった要因の一つは、テレワーク以前にどうにかできたはずで、多くの組織で放置されがちなものでした。- テレワークかどうかは、もはや関係ない? 三菱重工のインシデント報告から学べる「IT管理者あるある」な反省点
テレワークが普及する中、セキュリティ対策に追われる組織や企業は多いのではないでしょうか。三菱重工が公開したインシデントレポートは、まさにテレワーク「あるある」の状況で起こった攻撃を明らかにしています。しかし、その中で挙がった要因の一つは、テレワーク以前にどうにかできたはずで、多くの組織で放置されがちなものでした。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
ITmediaはアイティメディア株式会社の登録商標です。