非常事態宣言が全国に拡大し、テレワークがほぼ必須の状況になった。頼りになるのはVPN(仮想私設網)だが、至る所で「VPNにつながらない」「遅すぎる」といった悲鳴が上がっているようだ。
そのためVPNサーバーや回線の増強、運用の工夫を求められているシステム管理者は多いだろう。だが注意してほしい。安定運用はもちろん重要だが、それ以上に気をつけるべきはセキュリティーだ。企業ネットワークの入り口となるVPNサーバーの脆弱性を攻撃者は狙っている。
脆弱なVPNサーバーが世界で1万4500台
国内のセキュリティー組織であるJPCERTコーディネーションセンター(JPCERT/CC)は2019年9月、米フォーティネット(Fortinet)、米パルスセキュア(Pulse Secure)、米パロアルトネットワークス(Palo Alto Networks)のVPN製品に危険な脆弱性が見つかったとして注意を呼びかけた。
脆弱性を悪用されるとウイルス(マルウエア)などを遠隔から実行されたり、任意のファイルを読み取られたり、認証情報を取得されたりする恐れがある。
2019年9月時点でいずれの製品についても脆弱性を修正するプログラム(パッチ)は公開済み。だがパッチ未適用のまま運用されている製品が世界中に多数存在し、攻撃者に狙われ続けている。
特に狙われているのがパルスセキュアの製品だ。米国のセキュリティーベンダーであるバッドパケッツ(Bad Packets)は2019年8月末、パルスセキュア製品の脆弱性(識別番号CVE-2019-11510)の悪用を狙ったとみられるスキャン(探索行為)を確認したと公表した。
この脆弱性を悪用されるとVPNサーバーの認証情報を取得されて、VPNサーバー経由で企業ネットワークに侵入されてしまうという。
この脆弱性を抱えたままインターネット上で運用されているVPNサーバーは世界で1万4500台あり、そのうち1511台が日本国内にあるとしていた。
JPCERT/CCも同様のスキャンとみられる通信を観測。その後、この脆弱性を悪用した攻撃の被害報告が国内の組織から複数寄せられたという。
