ニューノーマル(新常態)時代、新たな働き方として在宅勤務などのテレワークを継続的に実施するために、社外からも業務システムにアクセス可能なVPN環境を安全に保つことは企業活動の生命線だ。
在宅勤務に取り組む従業員が増える一方で、2019年夏ごろから、VPN機器に存在する脆弱(ぜいじゃく)性を狙った攻撃が増加している。
ラックは、これまでに報告されているVPN機器の脆弱性の例として次の3つを挙げている。これらの脆弱性はベンダー側で修正済みで、バージョンアップによって対策が可能だ。
しかし、2020年8月にはバージョンアップを怠ったことで、機器の脆弱性を悪用されVPNの接続に用いられる認証情報が漏えいし、ネットに公開されるという事件も発生した。この情報漏えい事件は先に挙げたPulse Secure製品の脆弱性(CVE-2019-11510)を悪用したものとされているが、脆弱性の公開から攻撃を受けるまでに時間が経過していたことから、対策の不備を狙われたのではないかとみられている。
脆弱性による攻撃を防ぎ、影響を最小限にするには速やかな機器のアップデートが重要だ。しかし、ラックによると、アップデートを見落としたなどの理由で、脆弱性対策がされないまま、危険な状態にあるVPN機器も少なくない。セキュリティ企業のBad Packetsが発表した資料によると、先のようなサイバー攻撃が発生したPulse Secure製品もいまだにアップデートされていない機器が多数存在しているという。
資料には、Pulse Secureの脆弱性(CVE-2019-11510)の影響を受ける機器の対策状況が記載されている。この資料からは、日本のVPN機器が犯罪に遭いやすい理由も読み取れる。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。