知って得するセキュリティのはなし その77
国内38社のVPN認証情報流出か…悪用は確認されず
1.このニュースをザックリ言うと
- 8月25日(日本時間)、複数のメディアより、国内大手企業を含む世界の企業等からVPN接続のための認証情報が流出したと報じられています。
- 流出は内閣サイバーセキュリティセンター(NISC)への取材で明らかになったもので、被害を受けたのは、共同通信によれば住友林業・日立化成を含む国内38社、また朝日新聞によれば国内外900社に及ぶとのことです。
- NISCによれば、8月中旬にダークウェブ(サーチエンジンに表示されない、あるいは特殊な手段でアクセス可能なサイト)上で情報がやりとりされていたことを確認したとのことですが、情報は暗号化されており、実際に不正ログインが行われたケースは確認されていないとのことです。
2.執筆者からの所感等
- 認証情報は、いずれもPulse Secure社の、2019年に脆弱性が報告されていたSSL-VPN製品から流出したとみられ、また同社からアップデートがリリースされる(AUS便り 2019/9/24号参照)前に攻撃者が脆弱性を悪用して奪取していた可能性も指摘されています。
- 対象の各社では既に機器のアップデート・パスワードの変更あるいはVPNサービス自体の停止といった対策をとっている一方、被害を受けたうち一社は、以前交換した脆弱性のある古い機器を、テレワーク実施時の負荷分散のため再度稼働させていたという事情を発表しています(https://www.itmedia.co.jp/news/articles/2008/26/news123.html )。
- 万が一機器に対しOS・ファームウェアのアップデートを適用できないというケースでは、その他の多重の対策で攻撃を確実に防御できるかを検討すること、一方で適切なアップデートもなく所在が把握されていない機器が稼働していないかについても、十分な注意が必要です。