Fortinet製品の脆弱性から考える セキュリティ対策は「Nデイ」に目を向けよ：半径300メートルのIT

Fortinetの複数製品における管理画面の脆弱性（CVE-2022-40684）が話題を集めています。既にサイバー攻撃についてのPoCも公開されているため、喫緊の対策が求められています。企業が今すぐできることとは何でしょうか。

[宮田健，ITmedia]

　「攻撃者の視点に立つ」ことは、セキュリティ対策の第一歩だと思っています。攻撃者は無駄なことをせず、より有効で「もうかる」攻撃を仕掛けてくるはずですのでその視点で対策を考える必要があるでしょう。

　攻撃側は時間を選ばず、豊富なマシンリソースとあらゆる手段で攻撃を仕掛けてきます。近年は「RaaS」（Ransomware as a Service）といったサイバー攻撃用に最適化されたプラットフォームが出回っており、スキルがなくても容易に攻撃を実行できるようになってきています。

　つまり、IPアドレスの端から端までサイバー攻撃を実行し、その中の一つでも攻撃に成功すれば、それがお金につながる可能性があるわけです。企業を悩ませる攻撃のほとんどは、こうした無差別な攻撃がたまたま当たってしまった結果とも言えるかもしれません。そのため、もはや「ウチには重要な個人情報もないし規模も小さいので、狙っても意味がないよ」といった言い訳は通用しません。インターネットに接続してクラウドサービスを利用していれば、サイバー攻撃への対策は必要不可欠です。

　ただし、全てがそういった無差別な攻撃というわけではありません。中には明らかにあなたの組織を狙い、悪意を持ってやってくる「標的型攻撃」があります。

Fortinet製品を利用する企業は今すぐ対策を

　標的型攻撃は、製品やサービスで明らかになった脆弱（ぜいじゃく）性を悪用するケースが多いです。その中でも今回ピックアップしたいのは、Fortinetが提供する「FortiOS」「FortiProxy」「FortiSwitchManager」における管理画面の脆弱性「CVE-2022-40684」です。

　この脆弱性を悪用すると、認証されていない第三者（つまり、攻撃者）が、Fortinet製品の管理インタフェースをネットワーク経由で攻撃でき、結果として「任意の操作を行える」可能性があります。

　CVE-2022-40684は、既にこれを利用したサイバー攻撃についてPoC（Proof of Concept：コンセプトを実証するプログラムコード）が公開されているだけでなく、実際に攻撃の兆候が観測されており、非常に危険な状況です。詳細についてはマクニカによるブログやJPCERT/CCによる注意喚起を参照してください。

（左）Fortinet製品の管理画面の認証をバイパスする脆弱性CVE-2022-40684に関連した調査 - セキュリティ研究センターブログ（出典：マクニカのWebサイト）（右）Fortinet製FortiOS、FortiProxyおよびFortiSwitchManagerの認証バイパスの脆弱性（CVE-2022-40684）に関する注意喚起（出典：JPCERT/CCのWebサイト）

　マクニカによれば、同社が機器のバージョン情報や開放ポートを検索できるサービス「Shodan」によって調査したところ、本脆弱性の対象となる機器を「2022年10月13日のデータでグローバルで19万6668台、日本国内で8161台」確認したとのことです。対象となるFortinet製品は、FortiOSのバージョン7.2.0から7.2.1まで、及びFortiOSのバージョン7.0.0から7.0.6までですので、これらのバージョンを運用している組織は今すぐ確認して対処する必要があります。

　また、Fortinetは今回の脆弱性について回避策を提供しており、「HTTP/HTTPS管理インタフェースを無効化する」「管理インタフェースに接続可能なIPアドレスを制限する」ことを推奨しています。

　恐らく、多くの環境では上記の対策を講じることに問題はないはずですし、特に「管理インタフェースに接続可能なIPアドレスを制限する」対策はFortinet製品だけでなく、多くの機器で対処すべき制限ではないかと思います。今回の脆弱性に限らず、セキュリティ対策見直し時のポイントとして頭の片隅に入れておくことをお勧めします。

ゼロデイならぬ「Nデイ」対策の検討を

　今回の脆弱性はネットワーク機器で発見されたのに加え、脆弱性の発覚後に攻撃についての実証コードが公開され、攻撃の兆候も明らかになっているという点で、他の脆弱性とはステージが異なることが分かるはずです。

　ネットワークは境界防御の要であり、それが崩されることは社内システムに侵入しやすい状況がつくられたと言えます。さらに、マルウェアのようにユーザーにクリックさせることもなく、対象バージョンの機器が存在することが分かれば、攻撃が成立してしまいます。その条件も既に明らかになっているのですから、警戒する必要があるでしょう。PoCとはいえ攻撃手法が明らかになっていることから、冒頭に紹介した無差別攻撃を実行するスキルの低いサイバー攻撃者も、今回の脆弱性をターゲットとし、Shodanの検索結果を上から順番に攻撃していくかもしれません。

　組織はこれまで、未知の脆弱性を悪用される「ゼロデイ攻撃」に注目していたかもしれません。しかし今後は、脆弱性発覚後、修正パッチや回避策が明らかになっているにもかかわらず「パッチが適用できない」「対応が遅れる」といった「Nデイ」期間をいかに短くするかという点に注目してほしいと思います。セキュリティ対策は1分1秒を争う状況にあるため、脆弱性情報を把握し、対処するまでにどれだけスムーズに対応できるかを今こそ見直す必要があるでしょう。

　Fortinet製品の脆弱性といえば、SSL VPN機能に関する「CVE-2018-13379」も大きな話題になりました。同社製品に限らず、ネットワーク機器の脆弱性に関しては管理だけでなく「監視」も必要かと思います。引き続き困難な状況が続きますが、皆で力を合わせ組織を、インターネット社会を守っていきましょう。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。