全4021文字
PR

VPN装置のIDやパスワードが世界中の900社から流出する事件が発生した。脆弱性を抱えたまま運用していたVPN製品が攻撃を受けた。狙われた脆弱性は、VPN装置上の任意のファイルを外部から読み出せるもの。認証情報を平文で一時保存していたキャッシュファイルを読み取られた。日本企業も40~80社が被害を受けたとみられる。

 2020年8月上旬、世界のセキュリティー専門家の間に衝撃が走った。日本を含めて世界で普及しているVPN(仮想私設網)装置から、IDやパスワードなどの認証情報が大量に流出していたことが判明したからだ。

 米国のIT専門メディア「ZDNet」が2020年8月4日(現地時間)にWeb版でいち早く報じた。ロシア語圏のハッカーが集まるフォーラムサイトにVPN装置のIDやパスワードなどの情報が掲載されたことから、流出が明らかになった。VPN装置のIPアドレスごとにIDやパスワードなどの認証情報がフォルダーに整理され、1つの圧縮ファイルにまとめられていた。悪用されれば、VPN経由で社内ネットワークに不正侵入される恐れがあった。

脆弱性の発見は2019年3月

 情報の流出元は米パルスセキュアのVPN装置「Pulse Connect Secure」や旧機種の「MAG」で「旧機種での被害が多い」(パルスセキュア日本法人)という。パルスセキュアは2014年、ネットワーク機器大手の米ジュニパーネットワークスからVPN事業を分社して設立した。

 Pulse Connect Secureには2019年3月に脆弱性が発見され、同社は既にパッチを提供している。しかし脆弱性が放置されたまま運用されている製品が依然として多く、そうした製品が狙われたと見られる。

 国内のセキュリティー組織であるJPCERTコーディネーションセンター(JPCERT/CC)が流出したファイルを入手して調べたところ、ファイルに含まれていたIPアドレスと流出情報は約910件あったという。同センターの分析では、日本に割り当てられたIPアドレスは約90件と全体の1割を占めていた。攻撃者はインターネット上を探索して脆弱なVPN装置を見つけ出し、これらの装置から認証情報を不正に取得しようとしたと見られる。

報道がきっかけで情報拡散

 事態は報道によって急展開した。流出を指摘したZDNetの記事はハッカーフォーラムのURLを伏せていた。しかし翌8月5日にはファイルが多くの人々の手に渡ることになった。セキュリティー関係者を名乗る匿名のTwitterアカウントを持つ人物が、自ら入手した流出情報のファイルを共有サイトで公開し、そのURLをツイートしたからだ。このTwitterアカウント「Cyble(@AuCyble)」は、セキュリティー関連の情報をあえて「暴露」することで知られている。

 流出範囲が広がった一方で、セキュリティー専門家らによる流出ファイルの検証や分析も本格的に始まった。専門家からの指摘を受けて被害に気づく企業も出てきた。

 実際に流出被害にあったある日本企業の情報システム担当者は、外部からの指摘を受けて2020年8月上旬、事実確認に動いた。流出ファイルを入手して自社のユーザー情報と照合し、実際に自社のVPN装置から流出した情報と確認した。しかもそのVPN装置には不正侵入を試みる不審なアクセスが2020年8月時点で続いていると判明。すぐにそのVPN装置を停止した。