全2121文字
PR

 2020年8月下旬、国内企業が使うVPN(仮想私設網)製品からパスワードなどが流出したと報じられ話題になった。国内のセキュリティー組織であるJPCERTコーディネーションセンター(JPCERT/CC)も情報流出を確認。報道された情報と同一かまでは確認できなかったものの、国内に割り当てられたIPアドレスがおよそ90件含まれていたという。

 攻撃者はVPN製品の脆弱性を悪用して情報を盗んだと考えられる。どの脆弱性が悪用されたのか、どう流出したのか、流出した企業はどうすればよいのか。真相と対策を探った。

悪用が容易な脆弱性

 脆弱性を悪用されたのは、米Pulse Secure(パルスセキュア)のVPN製品「Pulse Connect Secure」とみられる。脆弱性の識別番号は「CVE-2019-11510」である。

 この脆弱性の特徴は、悪用が容易な点にある。細工を施したデータを該当のVPN製品に送信するだけで、ユーザー認証を経ることなくVPN製品に保存されている任意のファイルを取得できる。そのためのプログラムもインターネットで公開されている。さらに、同脆弱性にパッチを当てていない製品のIPアドレスも公開されているという。

 このため、同脆弱性を突こうとするアクセス(スキャン)が世界中で横行している。JPCERT/CCも同様のスキャンとみられる通信を観測。同脆弱性を狙った攻撃の被害報告が、国内の組織から複数寄せられたという。

 脆弱性が見つかったのは2019年4月。同時期にPulse Secureはパッチを提供したが、なかなか適用されなかったようだ。

 パッチ適用の有無は、不正アクセスに当たらない方法で容易に調べられる。セキュリティー企業の米Bad Packets(バッドパケッツ)が2019年8月末に調べたところ、世界で1万4500台の脆弱なVPN製品が存在し、そのうち1511台が日本国内にあるとしていた。

 JPCERT/CCによると、今回流出を確認した国内のIPアドレス90件は、この1511台のIPアドレスにほぼ含まれていた。このためパッチ未適用のPulse Secure製品から流出した情報だと推測できるとしている。

 その後対策が進み、脆弱なVPN製品は減っていったがまだ多数残っていると考えられる。JPCERT/CCによると、2020年3月24日時点でも298台残っていたという。

脆弱性(CVE-2019-11510)がある国内のパルスセキュア製品サーバー数の推移
脆弱性(CVE-2019-11510)がある国内のパルスセキュア製品サーバー数の推移
(出所:JPCERTコーディネーションセンター)
[画像のクリックで拡大表示]