PR

 米パルスセキュア(Pulse Secure)の日本法人は2020年8月25日、脆弱性を修正するパッチが未適用の同社のインターネットVPN(仮想私設網)製品について、ハッカーらが集まるWebサイト上で製品のIPアドレスのリストが公開されていることを本誌取材に明らかにした。リストには世界全体で900台超の機器に振られたIPアドレスが掲載され、日本企業46社が運用する57台分が含まれることを確認したという。不正侵入に使われる恐れがあり、パルスセキュア日本法人は個別に連絡を取りながら早急なパッチ適用を呼びかけている。

 公開されたIPアドレスのリストは、何者かがインターネット空間をスキャンするツールを使い、パルスセキュアのパッチ未適用の製品を探索して作成したと見られる。パルスセキュアが2020年8月までに存在を確認し、IPアドレスから所有する企業を特定して自社製品のユーザーであると確認した。

 2020年8月上旬から各国の現地法人が、企業に直接もしくは販売パートナー経由で連絡を取り、早急なパッチ適用を働きかけているという。日本法人は全ユーザー企業に2020年8月7日に注意喚起メールを送ったほか、2020年8月11日からリストに乗っていた46社へ個別に連絡した。

 日本法人が直接連絡できる9社のうち5社がすぐパッチを適用したものの、4社から返答がないなど、いまも未対策の企業が存在するという。連絡の過程で、あるユーザー企業はVPN機器に攻撃を受けていることも判明した。

 問題の脆弱性を巡っては2020年8月25日、IPアドレスだけでなくVPNを使う際のIDやパスワードなども漏洩した可能性があると一部で報道された。これに対しパルスセキュアは、同社が把握したリストに含まれた情報はIPアドレスだけで、機器を使うログインユーザーのIDやパスワード情報などの漏洩は確認できていないとした。

 今回の脆弱性が使われると、機器内の任意のファイルへ外部からアクセスできるようになる。最悪の場合、機器の管理者用のログイン情報や、ログインユーザーのID情報などを一時的に蓄えたキャッシュファイルが外部からアクセス可能になる。機器から流出させたと見られるIPアドレス以外の情報が確認されたとの報道もあり、より詳しい調査が必要になりそうだ。

 問題の脆弱性は2019年4月に見つかり、パルスセキュアは同時期に修正パッチを公開している。対象の機器は2010年代前半に販売されていた旧製品で、日本のユーザー数は約3000社という。情報公開から1年以上が経過したがパッチ未適用の企業が多数存在する。JPCERTコーディネーションセンター(JPCERT/CC)などが再三の注意喚起をしたが、対策がかなり進んだ2020年3月24日時点でもJPCERT/CCの調べでは日本国内で298台が未対策だった。