VPN装置のIDやパスワードが世界中の900社から流出する事件が発生した。脆弱性を抱えたまま運用していたVPN製品が攻撃を受けた。狙われた脆弱性は、VPN装置上の任意のファイルを外部から読み出せるもの。認証情報を平文で一時保存していたキャッシュファイルを読み取られた。日本企業も40~80社が被害を受けたとみられる。
2020年8月上旬、世界のセキュリティー専門家の間に衝撃が走った。日本を含めて世界で普及しているVPN(仮想私設網)装置から、IDやパスワードなどの認証情報が大量に流出していたことが判明したからだ。
米国のIT専門メディア「ZDNet」が2020年8月4日(現地時間)にWeb版でいち早く報じた。ロシア語圏のハッカーが集まるフォーラムサイトにVPN装置のIDやパスワードなどの情報が掲載されたことから、流出が明らかになった。VPN装置のIPアドレスごとにIDやパスワードなどの認証情報がフォルダーに整理され、1つの圧縮ファイルにまとめられていた。悪用されれば、VPN経由で社内ネットワークに不正侵入される恐れがあった。
脆弱性の発見は2019年3月
情報の流出元は米パルスセキュアのVPN装置「Pulse Connect Secure」や旧機種の「MAG」で「旧機種での被害が多い」(パルスセキュア日本法人)という。パルスセキュアは2014年、ネットワーク機器大手の米ジュニパーネットワークスからVPN事業を分社して設立した。
Pulse Connect Secureには2019年3月に脆弱性が発見され、同社は既にパッチを提供している。しかし脆弱性が放置されたまま運用されている製品が依然として多く、そうした製品が狙われたと見られる。
国内のセキュリティー組織であるJPCERTコーディネーションセンター(JPCERT/CC)が流出したファイルを入手して調べたところ、ファイルに含まれていたIPアドレスと流出情報は約910件あったという。同センターの分析では、日本に割り当てられたIPアドレスは約90件と全体の1割を占めていた。攻撃者はインターネット上を探索して脆弱なVPN装置を見つけ出し、これらの装置から認証情報を不正に取得しようとしたと見られる。
