米フォーティネットのセキュリティー機器からVPNの認証情報が外部に流出した。岐阜県庁など国内の約600組織で、ユーザーIDや平文のパスワードなどが漏洩した。原因はセキュリティー機器が備えるSSL-VPN機能の脆弱性にあった。被害に遭った企業の多くは脆弱性の存在に気づかず、パッチを適用していなかった。新型コロナ禍でテレワークが急速に広がるなか、VPNが標的になるケースが増えている。
「(情報セキュリティーの)プロはいるのか」。2020年12月初旬、岐阜県庁に県民から厳しい声が寄せられた。岐阜県庁のセキュリティー機器から、VPN(仮想私設網)機能を利用するためのIDやパスワードといった認証情報が外部に流出。この事実を地元紙が1面で報じた直後のことだ。
国内約600組織で認証情報漏洩
岐阜県庁でIT戦略の策定や情報セキュリティーの確保などを担う情報企画課の担当者が、VPNの認証情報の流出に気づいたのは11月26日。ある報道機関から情報流出の事実関係などを確認する問い合わせが入ったのがきっかけだった。
情報企画課の担当者が事実関係を調査し、対策を進めていたさなかの12月1日、地元紙が報道。同課の担当者は知事への事情説明やメディア対応などに追われた。
一連の調査の結果、流出したVPNの認証情報を悪用して、県庁内部のシステムに不正アクセスした形跡は見つからなかった。情報企画課の担当者は「一歩間違えれば、重要な情報が外部に漏れていたかもしれない」と危機感をあらわにする。
情報企画課は11月26日にセキュリティー機器のVPN機能を無効にしたうえで、同様の機器における設定の総点検を進めている。「協力会社に任せきりにせず、自分たちの目で確認する方針を徹底する」(同課の担当者)。
VPNの認証情報が外部に流出したのは岐阜県庁だけではない。情報セキュリティーの専門家によると、被害に遭ったのは国内だけで約600組織に達するという。既にリクルートや愛知県の一宮市立市民病院、札幌大学などで認証情報の外部流出が分かっている。
日経コンピュータの取材に対し、インターネット証券大手のマネックスグループはVPNの認証情報が外部に流出したかどうかも含めて「コメントできない」(コーポレートコミュニケーション室)と回答した。
札幌大学は2020年12月4日、事務職員のテレワーク用に構築したシステムにサイバー攻撃があり、事務職員9人のIDがネット上に漏洩したと発表した。11月26日にVPN機能を無効にしたうえで、12月2日に最新のファームウエアを適用し、脆弱性への対応を終えたという。
一部報道によると、警視庁からの情報提供を受け、警察庁でもVPNの認証情報の外部流出が判明している。
