新型コロナウイルスの感染拡大防止に伴い、多くの企業でテレワークを実施しているが、社外から業務システムにアクセスできるVPN機器へのサイバー攻撃が急増している。ラックでは同社のテクニカルレポートにお、いて、VPN機器を狙ったサイバー攻撃によるセキュリティ事故を防ぐ3つのポイントに関して提言している。

昨年から報告されているVPN機器に存在する脆弱性の例として、同社ではFortinetの脆弱性(CVE-2018-13379)、Pulse Secureの脆弱性(CVE-2019-11510)、Citrixの脆弱性(CVE-2019-19781)を挙げている。これらの脆弱性はメーカー側で修正され、バージョンアップを行うこと対策できるようになっているが、それを怠ったため機器の脆弱性を悪用し、VPNの接続に用いられる認証情報が漏えい、ネットに公開される事件が発生したと指摘。

8月に報道された情報漏えい事件はPulse Secureの脆弱性(CVE-2019-11510)を悪用したと考えられているが、脆弱性の公開から攻撃を受けるまで時間が経過しており、対策する余裕もなく、すぐに攻撃を受けたというわけではないという。

日本は対応率が低い

脆弱性の影響を最小限にするためには速やかなアップデートを行うことが求められるが、Pulse Secureの脆弱性について、アップデートされていない機器が多数存在することを示唆する資料がBad Packetsから公開されている。

この資料には、Pulse Secureの脆弱性(CVE-2019-11510)の影響を受ける機器の対策状況が記載されており、アメリカやイギリス、ドイツなどの諸外国では脆弱性公表から最初の1週間で2~5割の製品がアップデートされている中、日本では1割にも満たない状況に加え、脆弱性公表から7か月経過した3月下旬時点においても、諸外国と比較して日本の脆弱性アップデート対応率は低いままとなっている。

  • Pulse Secure製品の脆弱性の対応状況(引用元:Over 14,500 Pulse Secure VPN endpoints vulnerable to CVE-2019-11510 - Bad Packets)

    Pulse Secure製品の脆弱性の対応状況(引用元:Over 14,500 Pulse Secure VPN endpoints vulnerable to CVE-2019-11510 - Bad Packets)

一方、攻撃者側の目線では脆弱性を悪用すれば企業ネットワークに侵入する足掛かりを得ることができ、半年後も1000台近い機器が脆弱なままで、攻撃コードはインターネットに公開されている状況にある。標的型攻撃を成功させるためには従業員のアクションを必要とする、リモートからの攻撃にその必要はなく、攻撃側が好きな時に仕掛けるだけで必要な情報を得ることができるため、この状況を利用しない手はなく、攻撃の標的にうってつけだという。

下図の通り、ラックのJSOCで監視するユーザーネットワークに対しても、いまだに多数の攻撃試行を観測しており、脆弱性の対策がされていないVPN機器への攻撃による重要インシデントは8月にも発生しており、公開から1年経過した現在も攻撃が行われているということは、攻撃をするメリットがあるから、つまりは対策がされておらず攻撃が成功する環境が存在することを示唆している。

  • Pulse Secureの脆弱性(CVE-2019-11510)を狙った攻撃の観測件数

    Pulse Secureの脆弱性(CVE-2019-11510)を狙った攻撃の観測件数

対応が遅れる要因

脆弱性の公表後、アップデートなどの対策を促すと「業務の都合上すぐに止められない」という言葉を聞くことがあるが、脆弱性の公表直後の対策率の低さは仕方がないとしても、半年後でも諸外国と比較した日本の対策率の低さは、そもそも脆弱な機器を利用しているという意識がないことが原因の1つだと推察している。

外部ベンダーの活用により組織内のシステムを管理できる人員がいない場合や、そもそもどのような機器を利用しているかの管理がなされていない場合、対策の遅れにつながり、特に業務を行う上で欠かせない基盤システムに対する脆弱性の対処はアップデート作業そのものの影響度だけでなく、被害によって業務が停止するインパクトやビジネス上の多角的な判断が必要となる場合もあるという。

日頃からの管理に加え、有事の際に相談できるセキュリティの専門家を用意しておくのも、迅速で的確な意思決定のためには不可欠なほか、万が一認証情報が漏洩した場合でも被害が発生しないよう、パスワードのみの認証ではなく、ほかの認証と組み合わせた認証方式(多要素認証)が利用可能な機器を選定することも重要との認識を示している。

攻撃を防ぐ3つのポイント

そこで、同社では改めて脆弱性を狙ったサイバー攻撃で被害を受けることのないように以下の3つのポイントを提言している。

1. 脆弱性のある機器がないかを調べる
利用している機器を調べて、脆弱性が報告されていないか確認。影響を受ける機器の情報はJPCERT/CCなどの信頼できる機関からの情報、もしくはベンダーから情報提供されている。また、脆弱性情報はなんの前触れもなく、突然発表されるものだと考え、使用機器が今日は大丈夫であっても、明日はわからないため常に関心をもって最新情報を入手するようにする。

2. 脆弱性の影響受ける機器があった場合、対処する
脆弱性のある機器が見つかり、現時点においても修正されていない場合、過去に攻撃を受けている可能性が高いと考えられるため、単なるアップデートの適用だけでなく、機器のアカウントやパスワードの変更とともに侵害の有無について調査を実施する必要がある。

3. 予備機のアップデートも忘れずに
故障や障害などで予備の機器への交換が発生することもあることから、そのような場合に備えて予備機のアップデートも必ず実施する。