他山の石:「急遽テレワーク導入」に落とし穴

他山の石:
「急遽テレワーク導入」に落とし穴 国内約40社が被害「VPN不正アクセス事件」が他人事とは限らない理由
https://www.itmedia.co.jp/business/articles/2009/06/news009.html

『([高橋睦美,ITmedia])
新型コロナウイルスの感染拡大に伴い、リモートワークが広がる中、8月下旬に「VPN(Virtual Private Network)のアカウント情報が盗まれ、ネット上で公開された」という事件がメディアを賑わせました。VPN接続に利用されるパルセキュア社の製品の脆弱(ぜいじゃく)性を突かれてアカウント情報が盗まれたというものです。世界で約900社が被害を受け、中には約40社の日本企業も含まれていました。新聞の一面を飾ったこともあり、「うちの会社は大丈夫か? 同じような攻撃を受けないか?」と不安に感じた読者もいるのではないでしょうか。

 もしかすると「このベンダーの製品を使っていないから大丈夫」と思われた方もいるかもしれません。ですが、実はそうとは限りません。この一件にはいくつか他山の石にしたいポイントがあります。

photo
写真はイメージです(提供:ゲッティーイメージズ)

狙われる「閉じられない、止められないサービス」
 前置きになりますが、今回話題になった製品「Pulse Connect Secure」以外の機器を利用していても、安心というわけではありません。

 実はパロアルトネットワークス、フォーティネット、シトリックスといったベンダーが提供する多くのVPN製品でも、悪用されるとリモートから任意のコードを実行されたり、今回のように認証情報などを取得されてしまう恐れのある脆弱性が以前から指摘されています。すでに攻撃用に使えるコードも公開されていて、単に大きく報道されていないだけで、同様の攻撃を受けている可能性もあります。この製品を使っていないからといって安心するのではなく、いま一度棚卸しと脆弱性の有無を確認する必要があるでしょう。

 さて、今回の件で考えさせられるポイントの1つ目は、こうしたVPN機器をはじめ、外部に公開せざるを得ないサービスをどのように守るかという昔からある課題です。

 今回悪用されたのは、テレワークの導入に伴って存在感を増したVPN製品「Pulse Connect Secure」の脆弱性でした。テレワークを行う以上、社内だけに閉じるわけにはいかないという環境が狙われてしまったのです。被害に遭ったいくつかの企業は「内部侵入は確認されなかった」としていますが、過去にはVPN経由で不正侵入され、データを消去される被害にあったケースも発生しています。

 しかも、外部からのリモートアクセスを許さざるを得ない「入り口」は他にも存在しています。

 典型的な例が、外部からのリモート接続に用いられる「RDP」(Remote Desktop Protocol)と呼ばれるサービスです。過去にはパスワードを総当たり攻撃で破られるという不正アクセス被害が発生した他、「Bluekeep」と呼ばれる深刻な脆弱性も指摘されています。修正しなければ、同様の被害に遭ったり、ランサムウェアを送り込まれたりする可能性は否定できません。

 不要なポートやサービスは停止することがセキュリティの鉄則ですが、企業が業務を継続するのに不可欠な閉じるわけにいかないポート、サービスはどうしても存在します。攻撃者はそこを狙ってくることを前提に、認証を強固にしたり、しっかり監視を行ったりしてリスクを下げる必要があるでしょう。

「急きょテレワークへ移行」に潜んでいた落とし穴
 次に今回の件で感じたのは、環境を変えたり、イレギュラーなことが起きたときほど要注意だということです。

被害を受けた一社、平田機工はプレスリリースの中で、経緯の詳細を説明しています。それによると、同社は新型コロナウイルスの感染が拡大し、緊急事態宣言が出された4月中旬からテレワークを始めていました。それに伴いVPN装置の負荷が急増したため、昨年度に交換して外していた旧VPN装置を急きょ再導入し、負荷を分散することにしたそうです。

 ここで非常に残念なのは、交換後の現行機種は脆弱性に対応済みだったのに、急きょ投入した旧機種は、脆弱性が潜んでいるバージョンのままだったということです。緊急事態宣言というイレギュラーな状況に対応すべく、できる範囲で最善の策を打ったのでしょうが、そこに落とし穴が潜んでいたのでした。

photo
脆弱性が潜んでいた旧VPN装置を使ってしまった=平田機工のプレスリリースより
 この経緯を聞いて、「もしかしたら、うちでも十分起こりうることだ」と感じるネットワーク管理者は少なくないのではないでしょうか。

 筆者が思い出した別のインシデントは、これまたメディアを賑わせた、NTTコミュニケーションズに対する不正アクセスの一件です。同社の5月28日のプレスリリースによれば、新サービスへの移行に伴って撤去を控えていたサーバや一部の通信経路が、攻撃者の侵入経路として利用されたとあります。これもまた、環境の変化に伴うイレギュラーな状態を突かれた例といえそうです。

 いったん導入したシステムや環境が、未来永劫変わらないことはあり得ません。また、移行の過程で今回のテレワーク導入のような緊急対応を迫られたとき、十分なリソースがあるとも限りません。万全の対応は取れないけれど、「取りあえずその場をしのごう」というパターンは少なくないでしょうが、そこが攻撃者に狙われることは十分あり得るのだと、あらためて感じさせられます。

「脆弱性の修正を」という原則はまだ机上論?
 最後に、そして最も悩ましい課題があります。

止められないサービスを提供している機器やサーバに深刻な脆弱性が発覚したときにどう対応していくかという、これまた“古くて新しい”問題です。

 今回悪用された脆弱性は、2019年4月、つまり1年以上前にパッチが公開されていました。しかも、19年8月にはこの脆弱性を悪用する方法が公表され、脆弱な機器を探索していると思われるスキャン行為が増加したことから、JPCERTコーディネーションセンターなどが注意を呼び掛けており、ニュースにもなりました。

photo
JPCERTコーディネーションセンターが注意を呼び掛けていた
 先日開催された記者説明会の質疑応答によると、開発元であるパルスセキュアも、顧客に対し、パートナーなどを介してパッチの適用を複数回呼び掛けてきたことを明らかにしています。にもかかわらず、パッチを適用しないまま運用されている機器が残っており、被害が発生してしまいました。

 特定の用途向けに開発された「アプライアンス製品」だったということもあり、ソフトウェアとはちょっと受け止められ方が異なり、アップデートに手間取る側面があったのかもしれません。しかし、富士通がコラムで指摘している通り、「本来は信頼すべきVPNというネットワーク区間であるからこそ、それが知らぬうちに悪用された場合のリスクと想定される被害の大きさを正しく評価する必要がある」といえます。

 セキュリティの大原則として、「脆弱性が発覚したらアップデートしたり、パッチを適用したりしましょう」ということは、耳にたこができるほど叫ばれています。けれども問題なく動いているシステムや機器には手を触れたくなかったり、運用委託先も含めたメンテナンス時期の調整に手間取ったり、あるいは前述の「イレギュラーな状態」と相まってシステムの中で忘れ去られていたり、そもそも存在すら認知されていなかったり……原則には例外がつきものなのでしょうか。

 しかし攻撃者はそうした例外を見逃してはくれません。「パッチを当てて脆弱性を修正すること」はセキュリティの大原則ですが、実はその原則がまだ机上論であり、徹底していない場面があちこちにあるのだな、と思い知らされます。しかも最初にお伝えした通り、深刻な脆弱性は他のVPN機器にも、それどころか企業ITシステムを支えるあちこちのソフトウェアにも存在しています。それらとどう向き合えばいいのでしょうか。

photo
写真はイメージです(提供:ゲッティーイメージズ)

 逆のケースもあります。少し古い話になりますが、17年にはWebアプリケーションをJavaで効率よく開発できる「Apache Struts 2」に深刻な脆弱性が発覚したことがありました。このときは、修正パッチの公表後わずかな期間で複数のWebサイトがこの脆弱性を悪用する攻撃を受け、情報漏えいなどの被害が発生しています。IT部門側ができる限り早く対応に当たったにもかかわらず、間に合わなかったケースです。つまり、脆弱性が発覚すれば、1年以上たって攻撃されることもあれば、発覚からほんの数日のうちに悪用されることもあるのです。

 この事実を受け止め、自社のシステムでセキュリティの原則を本当に徹底するにはどうすればいいのか、運用現場の状況と折り合いを付けながら、どうリスクを減らしていくのかを、真剣に問い直すきっかけになったという意味で、今回の事件はまだまだ終わらないのかもしれません。』