情報セキュリティの選りすぐりの技術と信頼を届けます
SIPSセキュリティレポート 2021年3月26日号
***************************************************************
安全なはずのVPNが情報流出リスクを呼び起こす脅威
***************************************************************
インターネットなどの公衆回線を利用して、仮想的なプライベート回線を構築し専用回線の様に
使うセキュリティ技術として、VPN(Virtual
Private Network)という方法があり昨今では多く
利用されるようになってきた。
VPNは特定の拠点間を、トンネリング、暗号化等を行い特定の端末からのみアクセスができるように
なるため、一般的には第三者がアクセスすることは出来ないようになっていて安全と言える。
ところが、昨年発生した大規模なセキュリティ事故の一つである三菱電機に対するサイバー攻撃は
VPN機器のハッキングが起点となって発生したとなっていて中国系ハッカー集団によって機密情報や
個人情報が流出したとされている。
ハッカーはVPN装置から社内ネットワークへ侵入し、様々な情報を搾取していったのである。
【VPNを使えば安全】というセキュリティの根底が崩れてしまった大きな事例であると言えよう。
昨年来蔓延している新型コロナウイルスの影響もあり、企業はオフィス以外のリモート拠点から仕事を
するテレワークスタイルが普及し、多くの企業はセキュリティ対策としてVPNを利用するケースが増えて
きているが、そのVPNを狙う攻撃が増加しているのである。
今年に入ってからもVPN経由の不正アクセスニュースが多く確認されている。
IPA(独立行政法人情報処理推進機構)から3月18日に公開された「情報セキュリティ10台脅威
2021」にも組織の脅威の第3位に「テレワーク等のニューノーマルな働き方を狙った攻撃」としてVPN
の脆弱性を狙った不正アクセスに関する発生原因や脅威と影響、事例などが書かれていて、利用
に関する注意が必要であることが分かる。
VPN機器に対する不正アクセスは、機器の脆弱性を突いて機器のログイン権限を取得し、そこから
利用者のID/パスワードを使いなりすまして社内に侵入するという方法が考えられる。
昨年発生したVPN関連の不正アクセス事故の要因の一つには8月下旬に米パスルスセキュア社製の
脆弱性のあるVPN機器IP情報が、ダークウェブ上に流出公開された事や、11月にFortinet社製
SSL-VPNの脆弱性を保有する機器のIPアドレスがダークウェブ上に流出したことがその代表的な事例
と言ってよいだろう。
もう一つはVPN機器に対するログイン設定である。
VPN機器そのものに脆弱性がない場合であっても、ログインするためのアカウント情報があまりに安易な
設定になっているという事である。
安易に設定される例として「root」「admin」などのIDと「0000」「1234」「password」「設定なし」
などのパスワード設定である。
現在世界中のネットワーク機器をスキャンニングするツールがインターネット上に公開されていて、誰でも
利用することができる。これを悪用すれば特定のVPN機器を検索し、安易なログイン情報を持つ機器が
簡単に検出されてしまうのである。
機器に脆弱性が存在する場合、対策したバージョンにアップデートするなどの対処方法が考えられるが
アカウントのログイン設定の場合、それを変える以外対策の方法はない。
今年に入り中国ブラックマーケットのハッカーズコミュニティでは、VPNの情報売買が多数掲示されている。
▼3月16日 東南アジア、米国、韓国、日本、台湾およびその他の国のVPNを販売します。
▼3月14日 Mercari店舗販売:VPN+メール+名義人+QRコードのスキャン集金を提供
▼2月20日 日本のVPN1個/●●元で販売します。
これらはVPNのログイン情報であり、これがあれば対象IPアドレスのVPN機器にログインして、そこに
繋がるネットワークに不正アクセスが可能となる。
まさに三菱電機に不正アクセスした中国系ハッカー集団はこのような情報を利用したに違いない。
しかも、中国ブラックマーケットに掲示されるこのような情報は、SNSを利用したハッカーやサイバー
犯罪者達のみがアクセス可能な闇市場であるため、ダークウェブのように公に発見されることはほとんど
なく、実際に不正アクセス被害が発生した時の痕跡から【中国からの不正アクセス】という事が分かる。
つまり被害を受けるまで何も出来ないという事になる。
そこでVPNを本当に安全に使う為には、機器のログイン情報を購入時のままにしておく、もしくは
安易な設定にせず、きちんとしたログイン設定を施し、可能であれば定期的に変更する。
また機器の脆弱性情報をきちんと理解して、脆弱性が存在する場合には、速やかに対応バージョン
にアップデートする。この2点が重要になってくる。
そして新たなセキュリティ対策の一つとしてサイバー攻撃の兆候を事前に捉える脅威インテリジェンスを
利用するか否かは企業にとっても被害規模が大きく変わることになる。
「VPNを導入すれば安心」「UTMを使えば安心」という時代はもう終わったのである。
今この時も、あなたのVPNが狙われているかもしれない。
実施しているセキュリティ対策に奢れることなく、いつ発生するか分からないセキュリティ脅威に対して
信用しない「ゼロトラスト」の考え方の下、的確な企業の判断が求められる。
---------------------------------------------------------------------------------
<参考URL>
ScanNetSecurity:2021/3/22
職員になりすましVPN接続でJAMSTEC基幹ネットワークへ不正アクセス、ハッシュ化されたパスワード1,947件の窃取を確認
https://scan.netsecurity.ne.jp/article/2021/03/22/45372.html
ScanNetSecurity:2021/3/25
VPN製品の脆弱性を悪用し不正アクセス、漏えいを示す痕跡は確認されず
https://scan.netsecurity.ne.jp/article/2021/03/25/45399.html
IPA 情報処理推進機構:2021/3/18
情報セキュリティ10大脅威 2021
https://www.ipa.go.jp/security/vuln/10threats2021.html
ZDNet Japan:2021/3/16
サイバー攻撃の兆候を捉え備える脅威インテリジェンス
https://japan.zdnet.com/article/35167755/
Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved