メディア

狙われるVPN パスワード認証だけに頼ってはいけない

VPNを突破できれば被害企業のITサービスへ直接到達できるため、サイバー攻撃者の的になっている。

» 2024年07月05日 07時00分 公開
[David JonesCybersecurity Dive]
Cybersecurity Dive

 VPNを狙った攻撃が多発している。被害企業のVPNを自由に利用できるようになれば、重要なデータへつながる抜け穴として利用できるからだ。

攻撃が広がり切る前に対応できるか

 そのため、VPN機能を提供するベンダーは攻撃が起きていないかどうかを監視するようになってきた。現在はどうなっているのだろうか。

 サイバーセキュリティ事業を営むCheck Point Software Technologies(以下、Check Point)は2024年5月27日(注1)、認証方法としてパスワードしか備えていない同社のVPNのローカルアカウントを狙う攻撃者の動向を把握したと発表した。

 Check Pointは米国やその他の地域で攻撃が数カ月にわたって継続した後、これらのアカウントに対する不正アクセスの試みを監視してきた。今回狙われた製品は「CloudGuard Network」「Quantum Maestro」「Quantum Scalable Chassis」「Quantum Security Gateways」「Quantum Spark Appliances」の特定バージョンで、脆弱(ぜいじゃく)性の共通脆弱性識別子(CVE)は「CVE-2024-24919」だ。

 Check Pointはインシデント対応や製品、テクニカルサービスの専門家から成るチームを編成し、同様の手口で標的にされた顧客が他にも数社あることを突き止めた。2024年5月24日の時点で、世界全体で合計3件の攻撃が確認されている。同社は引き続き調査を続けており、追加情報が判明次第、最新情報を提供する予定だ。

狙われているのはCheck Pointだけではない

 国家とつながりのある脅威グループは、エッジデバイスを使用する組織に対する攻撃で重大な脆弱(ぜいじゃく)性を悪用し、多くのベンダーを標的にしてきた(注2)。

 これまでに報告されたように、Cisco SystemsやIvantiを含むベンダーが(注3、注4)、脆弱なエッジデバイスを使用する組織を狙うハッカーによって、ここ数カ月の間に攻撃されている。

 中華人民共和国とつながりのある脅威グループ「Volt Typhoon」も(注5)、米国内の(電力やガス、鉄道、空港などの)重要インフラを広範囲にわたって標的にしてきた。

 Check Pointのギル・メッシング氏(チーフオブスタッフ)によると、2024年5月20日の週に今回の攻撃について顧客に書類を送付しており、詳細が判明次第、追加情報を提供する予定だという。

 「認証手段がパスワードを利用したものしかなく、古くて使われていないアカウントは、サイバーのハイジーン(衛生)に向かない」(メッシング氏)

 同社はこの種の活動をブロックするために、顧客がダウンロードできる修正プログラムをリリースした(注6)。

 顧客の所在地について具体的な説明を避けたものの、同社は政府のサイバーセキュリティ当局にはインシデントについて通知したという。

© Industry Dive. All rights reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。