2020年、コロナ禍の影響により、日本全体で一気にテレワークが浸透し一般的となりました。
この急激な変化への対応として、多くの組織がVPN(Vertual Private Network)の導入を行いました。
VPNは、安全に会社などの組織ネットワークへのアクセスを実現するセキュリティ製品ですが、WindowsOSにセキュリティの問題(脆弱性)が次々と発見され都度アップデートが必要なように、VPN製品も常にアップデートしないとセキュリティ上の問題(脆弱性)を抱えたまま運用してしまっていることになります。
簡単にいうと、「VPNの管理をしっかりしないと、最悪の場合、VPNの認証(多くの場合IDとパスワード)が破られ、不正なアクセスの入り口になってしまう」のです。
この記事では、現在、VPNがどのような状態になっているのか、そしてその対策として何をすべきかを
テレワーク増加でVPNのセキュリティがやばい!
日経新聞に12/11と連続してVPNのセキュリティ上に関する記事が掲載されました。
—<以下、記事からの抜粋>—
内部システムにインターネットを介して安全に接続できるようにする「VPN(仮想私設網)」機器の欠陥を放置した結果、国内の約600の組織で不正アクセスにつながる情報が流出、公開される事態が起きた。侵入を防ぐ「関門」が逆にサイバー攻撃の入り口になってしまう恐れがあり、専門家は警戒を呼びかけている。
フォーティ社は2019年5月、一部の機器についてログイン情報を外部から容易に閲覧できてしまう欠陥があると公表し、修正ソフトを配布していた。欠陥が放置されている機器のIPアドレスを何者かがリスト化して闇市場で販売していたとみられ、20年11月中旬になってインターネット上にリストが公開されたことで問題が広く認知された。米フォーティネット社製VPN機器の認証情報が流出した国内組織
全体 約600
医療機関 約10(国立病院機構など)
大学 約20(慶応大学など)
行政機関 約10(警察庁など)
主なVPN製品と脆弱性情報
VPNの脆弱性を公表しているメーカーは、フォーティネット社だけではありません。
セキュリティー組織のJPCERTコーディネーションセンター(JPCERT/CC)は2019年9月、米フォーティネット、米パルスセキュア、米パロアルトネットワークスのVPN製品に危険な脆弱性が見つかったとして注意を呼びかけています。
これは国内に限った話ではありません。米国と英国の国家セキュリティー組織である米国土安全保障省サイバーセキュリティー・インフラストラクチャー・セキュリティー庁(CISA)および英国家サイバーセキュリティーセンター(NCSC)は2020年4月上旬、新型コロナウイルスに便乗するネット詐欺やサイバー攻撃が急増しているとして共同で注意を呼びかけています。
その中でテレワークの拡大に伴い、フォーティネット、パルスセキュア、パロアルトネットワークスのVPN製品の既知の脆弱性を悪用する攻撃が継続しているとして改めて注意喚起しているのです。
VPNの脆弱性対応として実施すべき対策
VPNは、通信を暗号化して、社外から社内ネットワークへ安全にアクセスするための手法ですが、これまで見てきたとおり、その運用管理をしっかり実施しない場合、攻撃者に恰好の侵入口を提供することになってしまいます。
具体的に実施すべき対策は、以下のとおりです。
(1)VPNの脆弱性情報を迅速に入手する体制を整備する。
(2)VPNの脆弱性情報を迅速に入手する。
(3)VPNの脆弱性への対応を迅速に実施する。
(2)、(3)を当たり前のように実施するためには、(1)の整備を確実の行う必要があります。
(1)の部分は、どうしてもコストがかかる部分となりますので、組織の上位者の理解・協力が実施のポイントとなるのではないかと考えます。
コメント