VPN(仮想私設網)のIDやパスワードのリストが再びネットに公開された。対象は米フォーティネット製品で、日本の組織の情報も含まれる。2019年5月に発表された脆弱性を修正していないユーザーが被害に遭った。
セキュリティー組織のJPCERTコーディネーションセンター(JPCERT/CC)が2020年11月27日に注意喚起を出した。インターネット上に公開されたのは、フォーティネット製のVPN機能を備えるファイアウオール製品「FortiGate」などを運用しているIPアドレスや、VPNを利用しているユーザーのアカウント名や平文のパスワードなどだ。
公開された情報が悪用されると、第三者が容易にVPN経由で企業・団体の内部ネットワークに侵入し、機密情報を窃取したりランサムウエアによる攻撃を試みたりできてしまう。
攻撃者は、フォーティネットの機器が搭載するOS「FortiOS」のSSL-VPN機能に関する脆弱性を突いて認証情報を取得した可能性が高い。フォーティネットは脆弱性に関する情報を2019年5月に公開したうえで修正プログラム(パッチ)を提供し、注意喚起もしていた。だが、パッチを未適用のまま運用している機器が国内外に多く存在し、攻撃者に狙われた。
JPCERT/CCは攻撃を受けた組織への情報提供を順次進めており、対策としてパッチの適用やSSL-VPNへの多要素認証の導入、認証情報の変更などを挙げる。不正アクセスやマルウエアの侵入の痕跡がないかどうかの調査も促している。
セキュリティーの専門家によれば、攻撃対象となるパッチ未適用の機器は現在、世界におよそ5万台あり、うち1割強が日本に存在するという。認証情報が公開された可能性のある組織は目下対策を急ぐ。
札幌大学などで影響
例えば札幌大学は事務局職員のテレワーク向けに利用していたSSL-VPNを一時停止し、職員にパスワードの変更を指示した。フォーティネットの機器へパッチを適用した後、VPN接続を再開した。
リクルートはテスト用のサーバー環境へのリモートアクセスにSSL-VPNを利用していた。既にパッチを適用済みで、認証情報を悪用したさらなる攻撃の被害が出ていないことも確認したとしている。
社内ネットワークの入り口となるVPNは、いつの時代もサイバー攻撃の標的となりやすい。またVPN装置のパスワードファイルなどが盗み出せる脆弱性は、近年様々なベンダーで相次ぎ見つかっている。脆弱性の公開情報をこまめにチェックし、ベンダーが提供するパッチを適用したりシステムアップデートを実行したりするだけでなく、対策漏れがないように注意する必要がある。
