VPNのパスワードはどう流出したのか、国内企業を襲ったサイバー攻撃の真相

VPNのパスワードはどう流出したのか、国内企業を襲ったサイバー攻撃の真相
勝村 幸博 日経クロステック/日経NETWORK
https://xtech.nikkei.com/atcl/nxt/column/18/00001/04507/

※ パスワードを「平文」のままで記録しておくとか、勘弁してほしい話しだ…。素人のオレでも、その危険性は分かる…。ネットワーク責任者は、「切腹もの」だろう…。

※ この前紹介した「アドレス帳のハッキング」と言い、世の中「ハッキングの危険性」に満ち満ちている…。「ハッキング」は、されるもの…、「マルウェア」は、送り込まれるもの…、という前提で、もの事を考えた方がよさそうだ…。

※ それと、その「ハッキングされたぽい話し」に付け加えておく…。それは、win10の「更新」を、あえて「遅らせていたこと」との関係だ…。

※ 「更新」で不具合に見舞われるのがイヤで、わざと「遅らせていた」…。そうすると、今度は、「脆弱性の穴」が生じるんだよ…。

※ 悩ましいところだが、「バックアップ体制」しっかり取っておいて、「更新」はすぐに適用する方が良さそうだ…。今回、「見舞われて」そう思った…。

※ そのバックアップ体制の話しだが、「ウインドウズ・バックアップ」は、いずれ切られる…、という話しだ…。Acronisは、謎のサーバーとしきりに通信するんで、これもあまり信用できない…。

※ 全く、「どーすりゃいいのよ…。」状態だ…。ああ、AOSがあったか…。しかし、あれもやたら処理が遅いしな…。それと、レスキュー・ディスクとか作る体制が、イマイチだった…。どうしたものかねえ…。

『2020年8月下旬、国内企業が使うVPN(仮想私設網)製品からパスワードなどが流出したと報じられ話題になった。国内のセキュリティー組織であるJPCERTコーディネーションセンター(JPCERT/CC)も情報流出を確認。報道された情報と同一かまでは確認できなかったものの、国内に割り当てられたIPアドレスがおよそ90件含まれていたという。

 攻撃者はVPN製品の脆弱性を悪用して情報を盗んだと考えられる。どの脆弱性が悪用されたのか、どう流出したのか、流出した企業はどうすればよいのか。真相と対策を探った。

悪用が容易な脆弱性
 脆弱性を悪用されたのは、米Pulse Secure(パルスセキュア)のVPN製品「Pulse Connect Secure」とみられる。脆弱性の識別番号は「CVE-2019-11510」である。

 この脆弱性の特徴は、悪用が容易な点にある。細工を施したデータを該当のVPN製品に送信するだけで、ユーザー認証を経ることなくVPN製品に保存されている任意のファイルを取得できる。そのためのプログラムもインターネットで公開されている。さらに、同脆弱性にパッチを当てていない製品のIPアドレスも公開されているという。

関連記事:パッチ未適用のパルスセキュア社VPN、日本企業46社のIPアドレスがさらされる
 このため、同脆弱性を突こうとするアクセス(スキャン)が世界中で横行している。JPCERT/CCも同様のスキャンとみられる通信を観測。同脆弱性を狙った攻撃の被害報告が、国内の組織から複数寄せられたという。

 脆弱性が見つかったのは2019年4月。同時期にPulse Secureはパッチを提供したが、なかなか適用されなかったようだ。

 パッチ適用の有無は、不正アクセスに当たらない方法で容易に調べられる。セキュリティー企業の米Bad Packets(バッドパケッツ)が2019年8月末に調べたところ、世界で1万4500台の脆弱なVPN製品が存在し、そのうち1511台が日本国内にあるとしていた。

 JPCERT/CCによると、今回流出を確認した国内のIPアドレス90件は、この1511台のIPアドレスにほぼ含まれていた。このためパッチ未適用のPulse Secure製品から流出した情報だと推測できるとしている。

 その後対策が進み、脆弱なVPN製品は減っていったがまだ多数残っていると考えられる。JPCERT/CCによると、2020年3月24日時点でも298台残っていたという。

脆弱性(CVE-2019-11510)がある国内のパルスセキュア製品サーバー数の推移
(出所:JPCERTコーディネーションセンター)
[画像のクリックで拡大表示]

キャッシュファイルを盗まれた恐れ
 セキュリティー組織などがたびたび注意を呼びかけているものの、悪用が容易な脆弱性でパッチの適用も進んでいないため、国内外で被害報告が相次いでいる。

 最近では2020年8月4日に米メディアのZDNetが大規模な被害を報告した。900を超えるPulse Secure製品のユーザーIDとパスワードなどのリストが、あるフォーラム(攻撃者などが情報を交換するWebサイト)に投稿されていたというのだ。

 公開されている情報の件数などから、国内報道で話題になったのはこのリストである可能性が高い。今になって取り上げられたのは、この中に国内企業が含まれていたことが判明したためだと考えられる。

 JPCERT/CCによると、流出情報には該当製品のIPアドレスに加えて、ユーザーIDや暗号化されていない平文のパスワード、セッション情報などが公開されていたという。

 VPN製品に限らず、一般にコンピューターやセキュリティー機器はパスワードのハッシュ値しか保存しない。だがPulse Secureの該当製品には、一部の認証情報を平文で保存する場所があった。このためその場所のファイル(キャッシュファイル)を取得された可能性がある。

 実際にJPCERT/CCが脆弱性のある該当製品で検証したところ、平文のパスワードやセッション情報などを取得できたという。

多要素認証とパスワード変更で対応
 VPNのパスワードが流出したということで注目された今回のインシデント(セキュリティー事故)だが、事後対応が適切ならば慌てる必要はない。具体的にはパッチの適用に加えて、パスワード以外でも認証する多要素認証(2要素認証)を導入したりパスワードを変更したりすればよい。

 パッチを適用しても、盗まれたパスワードを使い続ければ不正にアクセスされてしまう。だが多要素認証を導入したりパスワードを変更したりすれば、盗まれたパスワードは使えなくなる。

 今回はPulse Secure製品だけが話題になったが、他社のVPN製品でも危険な脆弱性が見つかっている。VPN製品はテレワークの要。現在利用しているVPN製品に脆弱性がないかを確認し、影響を受けるようならパッチの適用といった対策が急務だ。

 さらに言えば、脆弱性を突かれてパスワードを盗まれたり侵入されたりすることはVPN製品に限った話ではない。インターネットからアクセス可能な製品やサービス全てが抱えるリスクである。そうした製品やサービスを運用する担当者は、セキュリティーの不備がないかどうかを改めて確認する必要がある。』