在宅社員が狙われる VPN機器へのサイバー攻撃を防ぐポイントとは

ラックは2020年9月8日、VPN機器を狙ったサイバー攻撃が増加しているというテクニカルレポートを公開した。レポートでは増加傾向にあるVPN機器の脆弱性を狙った攻撃と、その攻撃を防ぐための3つのポイントを提言している。

[キーマンズネット]

　ニューノーマル（新常態）時代、新たな働き方として在宅勤務などのテレワークを継続的に実施するために、社外からも業務システムにアクセス可能なVPN環境を安全に保つことは企業活動の生命線だ。

識者が警鐘「VPN機器の脆弱性放置は危険、増加する攻撃」

　在宅勤務に取り組む従業員が増える一方で、2019年夏ごろから、VPN機器に存在する脆弱（ぜいじゃく）性を狙った攻撃が増加している。

　ラックは、これまでに報告されているVPN機器の脆弱性の例として次の3つを挙げている。これらの脆弱性はベンダー側で修正済みで、バージョンアップによって対策が可能だ。

• Fortinetの「FortiOS」の脆弱性（CVE-2018-13379）
• Pulse Secureの「Pulse Connect Secure」の脆弱性（CVE-2019-11510）
• Citrix Systemsの「Citrix ADC（Application Delivery Controller）」および「Citrix Gateway」の脆弱性（CVE-2019-19781）

　しかし、2020年8月にはバージョンアップを怠ったことで、機器の脆弱性を悪用されVPNの接続に用いられる認証情報が漏えいし、ネットに公開されるという事件も発生した。この情報漏えい事件は先に挙げたPulse Secure製品の脆弱性（CVE-2019-11510）を悪用したものとされているが、脆弱性の公開から攻撃を受けるまでに時間が経過していたことから、対策の不備を狙われたのではないかとみられている。

「日本は犯罪の標的となりやすい」その理由と解決策

　脆弱性による攻撃を防ぎ、影響を最小限にするには速やかな機器のアップデートが重要だ。しかし、ラックによると、アップデートを見落としたなどの理由で、脆弱性対策がされないまま、危険な状態にあるVPN機器も少なくない。セキュリティ企業のBad Packetsが発表した資料によると、先のようなサイバー攻撃が発生したPulse Secure製品もいまだにアップデートされていない機器が多数存在しているという。

Pulse Secure製品の脆弱性の対応状況（引用元：Over 14,500 Pulse Secure VPN endpoints vulnerable to CVE-2019-11510 - Bad Packets）

　資料には、Pulse Secureの脆弱性（CVE-2019-11510）の影響を受ける機器の対策状況が記載されている。この資料からは、日本のVPN機器が犯罪に遭いやすい理由も読み取れる。