全2250文字
PR

平文のパスワードを盗まれた

 セキュリティー組織などがたびたび注意を呼びかけているものの、悪用が容易な脆弱性でパッチの適用も進んでいないため、国内外で被害報告が相次いでいる。

 2020年8月4日には米メディアのZDNetが大規模な被害を報告した。900を超えるパルスセキュア製品のユーザーIDとパスワードなどのリストが、あるフォーラムに投稿されていたと伝えた。

 公開されている情報の件数などから、国内の報道で話題になったのはこのリストである可能性が高い。2週間以上が経過してから取り上げられたのは、この中に国内企業が含まれていたことが判明したためだと考えられる。

 JPCERT/CCによると、流出した情報には該当製品のIPアドレスに加えて、暗号化されていない平文のパスワードやセッション情報などが含まれていたという。

 VPN製品に限らず、一般にコンピューターやセキュリティー機器はパスワードのハッシュ値しか保存しない。だがパルスセキュアの該当製品には、一部の認証情報を平文で保存する場所があった。このためその場所のファイル(キャッシュファイル)を取得された可能性がある(図3)。

図3●VPN製品の脆弱性を悪用する攻撃のイメージ
図3●VPN製品の脆弱性を悪用する攻撃のイメージ
攻撃者は脆弱性を突くデータ(リクエスト)をVPN製品に送信して、製品に保存されているキャッシュファイルを盗む。キャッシュファイルにはパスワードやセッション情報などが収められている。
[画像のクリックで拡大表示]

 実際にJPCERT/CCが脆弱性のある該当製品で検証したところ、平文のパスワードやセッション情報などを取得できたという。

多要素とパスワード変更で対応を

 VPNのパスワードが流出したということで注目された今回のインシデントだが、事後対応が適切ならば慌てる必要はない。具体的にはパッチの適用に加えて、パスワード以外でも認証する多要素認証(2要素認証)を導入したりパスワードを変更したりすればよい。

 パッチを適用しても、盗まれたパスワードを使い続ければ不正にアクセスされてしまう。だが多要素認証を導入したりパスワードを変更したりすれば、盗まれたパスワードは使えなくなる。

 今回はパルスセキュア製品だけが話題になったが、他社のVPN製品でも危険な脆弱性が見つかっている。VPN製品はテレワークの要。現在利用しているVPN製品に脆弱性がないかを確認し、影響を受けるようならパッチの適用といった対策が急務だ。

 さらに言えば、脆弱性を突かれてパスワードを盗まれたり侵入されたりすることはVPN製品に限った話ではない。インターネットからアクセス可能な製品やサービスすべてが抱えるリスクである。そうした製品やサービスを運用する担当者は、セキュリティーの不備がないかどうかを改めて確認する必要がある。

▼VPN
Virtual Private Networkの略。仮想私設網。
▼JPCERTコーディネーションセンター
セキュリティーインシデントの報告を受け付ける国内の組織。一般社団法人で、特定の政府機関や企業からは独立した中立の立場を取る。インシデント対応の支援や、インシデントの発生状況の把握、手口の分析、再発防止のための対策の検討や助言、注意喚起などを、技術的な立場から実施している。略称はJPCERT/CC。
▼「Pulse Connect Secure」の脆弱性
脆弱性の識別番号は「CVE-2019-11510」。
▼フォーラム
攻撃者などが情報を交換するWebサイト。
▼インシデント
ここではセキュリティーに関する事件・事故を指す。