ニュース
» 2020年09月10日 12時50分 公開

テレワーク環境が狙われる! VPN機器を狙ったサイバー攻撃を防ぐ3つのポイントとは――ラックが提言

テレワークを支えるVPN機器を狙ったサイバー攻撃が増加していることから、ラックは、セキュリティインシデントを防ぐための3つのポイントを提言。“脆弱なまま”で放置されているVPN機器がないかどうかをあらためて調査し、速やかに対応する必要がある。

[金澤雅子,ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 ラックは2020年9月8日、VPN機器を狙ったサイバー攻撃によるセキュリティ事故を防ぐための3つのポイントを提言したテクニカルレポートを発表した。

テレワーク環境を狙ったサイバー攻撃が増加

 「Withコロナ」時代の働き方として在宅勤務などのテレワークを継続的に実施するには、社外から業務システムにアクセスできるVPN環境を安全に保つことは、企業活動の生命線といえる。

 一方、2019年の夏ごろから、VPN機器の脆弱(ぜいじゃく)性を悪用する攻撃が増えているという。ラックでは、これまでに報告されているVPN機器の脆弱性の例として、Fortinetの「FortiOS」の脆弱性(CVE-2018-13379)、Pulse Secureの「Pulse Connect Secure」の脆弱性(CVE-2019-11510)、Citrix Systemsの「Citrix ADC(Application Delivery Controller)」および「Citrix Gateway」の脆弱性(CVE-2019-19781)を挙げている。これらの脆弱性は既にベンダー側で修正され、バージョンアップを行うことで対策できるようになっている。

 しかし、それを怠ったため、機器の脆弱性を悪用され、VPN接続に用いられる認証情報が漏えいし、ネットに公開されるという事件が発生した。2020年8月に報道されたこの情報漏えい事件は、Pulse Secure製品の脆弱性(CVE-2019-11510)を悪用したと考えられており、脆弱性情報の公開から攻撃を受けるまでにかなり時間が経過していたことから「対策する余裕もなく、すぐに攻撃を受けた」というわけではなかったとみられている。

日本は犯罪者の標的になりやすい?

 脆弱性の影響を最小限にするには速やかなアップデートを行うことが求められるが、アップデートを見落としなどにより、脆弱性対策がされないままの危険な状態にあるVPN機器は少なくないという。

 Pulse Secure製品の脆弱性については、アップデートされていない機器が多数存在することを示唆する資料がセキュリティ企業Bad Packetsから公開されている。

 この資料には、Pulse Secureの脆弱性(CVE-2019-11510)の影響を受ける機器の対策状況が記載されている。それによると、米国や英国、ドイツなどの諸外国では脆弱性公表から最初の1週間で2〜5割の製品がアップデートされている中、日本では1割にも満たないことに加え、脆弱性公表から7カ月たった2020年3月下旬の時点でも、諸外国と比較して日本の脆弱性アップデート対応率は低いままとなっている。

Photo Pulse Secure製品の脆弱性の対応状況(引用元:Over 14,500 Pulse Secure VPN endpoints vulnerable to CVE-2019-11510 - Bad Packets)

 一方、攻撃者目線では、この脆弱性を悪用すれば、企業ネットワークに侵入する足掛かりを得ることができる。脆弱性情報の公開から半年後でも世界で1000台以上の機器が脆弱なままであり、その間、攻撃コードはインターネットに公開されている状況にある。

 通常、標的型攻撃を成功させるには、攻撃メールを開封してしまうなど、従業員のアクションを必要とするが、リモートからの攻撃にその必要はなく、攻撃をする側が好きなときに仕掛けるだけで必要な情報を得られるため、攻撃の標的としてうってつけだといえる。

 ラックのセキュリティ監視・運用センター「JSOC(ジェイソック)」が監視するユーザーのネットワークでも、Pulse Secureの脆弱性(CVE-2019-11510)を狙った攻撃は多数観測されており、2020年8月時点でも発生し続けている(下図参照)。脆弱性情報の公開から1年たっても攻撃が行われているということは、攻撃をするメリットがある、つまり対策がされておらず、攻撃が成功する環境がまだあることを示唆している。

Photo JSOCによるPulse Secureの脆弱性(CVE-2019-11510)を狙った攻撃の観測件数

対策が遅れる理由とは?

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ