2020年8月下旬、国内企業が使うVPN▼製品からパスワードなどがインターネットに流出したと報じられ話題になった。国内のセキュリティー組織であるJPCERTコーディネーションセンター▼(JPCERT/CC)も情報流出を確認。報道された情報と同一かまでは確認できなかったものの、国内に割り当てられたIPアドレスがおよそ90件含まれていた。
悪用が容易な脆弱性
攻撃者は米パルスセキュアのVPN製品「Pulse Connect Secure」の脆弱性▼を悪用して情報を盗んだと考えられる。
この脆弱性の特徴は、悪用が容易な点にある。細工を施したデータを該当のVPN製品に送信するだけで、ユーザー認証を経ることなくVPN製品に保存されている任意のファイルを取得できる。そのためのプログラムもインターネットで公開されている。さらに、同脆弱性に修正プログラム(パッチ)を当てていない製品のIPアドレスも公開されている。
このため、同脆弱性を突こうとするアクセス(スキャン)が世界中で横行している。JPCERT/CCも同様のスキャンとみられる通信を観測。同脆弱性を狙った攻撃の被害報告が、国内の組織から複数寄せられている。
脆弱性が見つかったのは2019年4月。同時期にパルスセキュアはパッチを提供し、各国のセキュリティー組織も注意を呼びかけた(図1)。たが、なかなかパッチは適用されなかった。
パッチ適用の有無は、不正アクセスに当たらない方法で容易に調べられる。セキュリティー企業の米バッドパケッツが2019年8月末に調べたところ、世界で1万4500台の脆弱なVPN製品が存在し、そのうち1511台が日本国内にあるとしていた。
JPCERT/CCによると、今回流出を確認した国内のIPアドレス90件は、この1511台のIPアドレスにほぼ含まれていたという。このためパッチ未適用のパルスセキュア製品から流出した情報だと推測できるとしている。
その後対策が進み、脆弱なVPN製品は減っていったがまだ多数残っていると考えられる。JPCERT/CCによると、2020年3月24日時点でも国内に298台残っていたという(図2)。
