全2251文字
PR

 セキュリティー対策機器大手の米Fortinet(フォーティネット)の製品を巡り、脆弱性を突くサイバー攻撃が相次ぎ問題となっている。ただし、攻撃に使われたのは1年以上前に既知の脆弱性で、修正プログラムも提供済み。脆弱性対策のバージョンアップにさえも消極的な日本のユーザー企業が、被害拡大の一因となる構図が浮き彫りとなった。

 「日本企業はあまりソフトウエアのバージョンアップをしたがらない」。フォーティネット日本法人、フォーティネットジャパンの西沢伸樹副社長兼マーケティング本部長はこう指摘する。

 「古いソフトウエアは脆弱性が残っているので、ネットワークセキュリティー上は新しいバージョンが出れば早くバージョンアップしてほしいが、日本のユーザー企業はできる限り変更せずに長く使いたいというニーズが強い」(西沢副社長)

フォーティネットジャパンの西沢伸樹副社長兼マーケティング本部長
フォーティネットジャパンの西沢伸樹副社長兼マーケティング本部長
(出所:米フォーティネット)
[画像のクリックで拡大表示]

「FortiGate」の脆弱性が狙われる

 複数の米政府機関を含む多数の組織において、2020年末ごろからセキュリティーを侵害された問題が相次いだ。この問題を巡り米国政府と英国政府は2021年4月15日、ロシアの対外情報局(SVR)の関与があったと明らかにした。米国はロシアの外交官10人の国外追放などを発表している。

 米国家安全保障局などは「SVRは公によく知られた脆弱性を利用して攻撃を仕掛けた」として、これらの製品のユーザーに対策を呼びかけている。米SolarWinds(ソーラーウインズ)のネットワーク管理ソフトなどと並び、脆弱性に注意すべき製品の1つに挙げられたのが、フォーティネットのVPN製品「FortiGate」だ。

 とはいえこの脆弱性は、同社にとっては過去の話だった。同社が脆弱性の存在を認知したのは2018年12月のことだ。台湾のセキュリティーコンサルティング企業DEVCOREのセキュリティーリサーチチームに属する、メー・チャン氏とオレンジ・ツァイ氏が発見し、フォーティネットに通知していた。同社が脆弱性を修正したFortiOSをリリースしたのは翌2019年4~5月のことだ。

 日本法人のフォーティネットジャパンはエンドユーザーに直接販売することはなく、パートナー企業を通じて製品を販売している。日本法人は修正版FortiOSのリリースと同時に、パートナー企業へ通知。パートナー企業を通じて、該当するFortiOSを利用するエンドユーザーに対してアップグレードを、直ちにアップグレードできない場合はワークアラウンド(応急措置)を依頼した。

 一件落着かと思われたこの脆弱性が再び脚光を浴びたのは2020年11月のことだ。ダークウエブ上のハッカーフォーラムなどで、古い脆弱性を放置したままのFortiOSを使っているFortiGateのIPアドレスのリストが公開されていることが発覚した。リストは約5万台分に上り、大企業も含まれていたといわれる。

 日本法人はパートナー企業に注意喚起するとともに、公開されたリストのIPアドレスを解析。日本のエンドユーザーのうち、社名と連絡先が判明した顧客に直接連絡し、FortiOSのアップグレードまたはワークアラウンドを依頼した。