Check Point Software Technologiesは5月27日(米国時間)、「Important Security Update – Enhance your VPN Security Posture! - Check Point Blog」において、同社のリモートアクセスVPN製品を標的とする進行中のサイバー攻撃について、注意を喚起した。攻撃者はパスワードのみの認証方式に依存した古いVPNローカルアカウントに対して不正アクセスを試みるという。
進行中の不正アクセスキャンペーンの概要
Check Pointは同社製品に対する進行中のキャンペーンを確認したため、インシデント対応、研究、技術サービスなどの専門家からなるチームを編成し、キャンペーンを徹底的に調査した。その結果、キャンペーンの標的となっている複数の顧客を発見したと説明している。
このキャンペーンでは、主にパスワードのみの認証方式に依存した古いVPNローカルアカウントが狙われており、このようなアカウントを保護する必要があるとしている。
VPNローカルアカウントを保護する対策
Check Pointは今回のキャンペーンからVPNローカルアカウントを保護するため、次のような対策を推奨している。
- VPNローカルアカウントが存在するかどうかを確認する。存在する場合は履歴に不審な点がないか確認する
- VPNを使用しない場合は機能を無効にする
- VPNローカルアカウントがパスワード認証のみの場合は、別の認証レイヤー(証明書など)を追加する
- Security Gateway(SG)にCheck Pointのセキュリティソリューションを導入する。Check Pointのセキュリティソリューションはパスワード認証のみの不正なVPNアクセスを自動的に防止できる
Check Pointはパスワード認証のみの脆弱なアカウントを検出し、是正するセキュリティ強化ツールを「Preventative Measure Tool to enhance VPN Security Posture」にて公開している。また、パスワード認証のみのローカルアカウントからのVPNアクセスを禁止するホットフィックスも同サイトにて公開しており、必要に応じて活用することが望まれている。