VPNを狙った攻撃が多発している。被害企業のVPNを自由に利用できるようになれば、重要なデータへつながる抜け穴として利用できるからだ。
攻撃が広がり切る前に対応できるか
そのため、VPN機能を提供するベンダーは攻撃が起きていないかどうかを監視するようになってきた。現在はどうなっているのだろうか。
サイバーセキュリティ事業を営むCheck Point Software Technologies(以下、Check Point)は2024年5月27日(注1)、認証方法としてパスワードしか備えていない同社のVPNのローカルアカウントを狙う攻撃者の動向を把握したと発表した。
Check Pointは米国やその他の地域で攻撃が数カ月にわたって継続した後、これらのアカウントに対する不正アクセスの試みを監視してきた。今回狙われた製品は「CloudGuard Network」「Quantum Maestro」「Quantum Scalable Chassis」「Quantum Security Gateways」「Quantum Spark Appliances」の特定バージョンで、脆弱(ぜいじゃく)性の共通脆弱性識別子(CVE)は「CVE-2024-24919」だ。
Check Pointはインシデント対応や製品、テクニカルサービスの専門家から成るチームを編成し、同様の手口で標的にされた顧客が他にも数社あることを突き止めた。2024年5月24日の時点で、世界全体で合計3件の攻撃が確認されている。同社は引き続き調査を続けており、追加情報が判明次第、最新情報を提供する予定だ。
狙われているのはCheck Pointだけではない
国家とつながりのある脅威グループは、エッジデバイスを使用する組織に対する攻撃で重大な脆弱(ぜいじゃく)性を悪用し、多くのベンダーを標的にしてきた(注2)。
これまでに報告されたように、Cisco SystemsやIvantiを含むベンダーが(注3、注4)、脆弱なエッジデバイスを使用する組織を狙うハッカーによって、ここ数カ月の間に攻撃されている。
中華人民共和国とつながりのある脅威グループ「Volt Typhoon」も(注5)、米国内の(電力やガス、鉄道、空港などの)重要インフラを広範囲にわたって標的にしてきた。
Check Pointのギル・メッシング氏(チーフオブスタッフ)によると、2024年5月20日の週に今回の攻撃について顧客に書類を送付しており、詳細が判明次第、追加情報を提供する予定だという。
「認証手段がパスワードを利用したものしかなく、古くて使われていないアカウントは、サイバーのハイジーン(衛生)に向かない」(メッシング氏)
同社はこの種の活動をブロックするために、顧客がダウンロードできる修正プログラムをリリースした(注6)。
顧客の所在地について具体的な説明を避けたものの、同社は政府のサイバーセキュリティ当局にはインシデントについて通知したという。
出典:Check Point Software customers targeted by hackers using old, local VPN accounts(Cybersecurity Dive)
注1:Important Security Update – Stay Protected Against VPN Information Disclosure (CVE-2024-24919)(Check Point Software Technologies)
注2:China-linked attackers are successfully targeting network security devices, worrying officials(Cybersecurity Dive)
注3:Cisco devices again targeted by state-linked threat campaign(Cybersecurity Dive)
注4:CISA attacked in Ivanti vulnerabilities exploit rush(Cybersecurity Dive)
注5:Broad campaign underway to access US critical infrastructure using small, home office devices(Cybersecurity Dive)
注6:Preventative Hotfix for CVE-2024-24919 - Quantum Gateway Information Disclosure(Check Point Software Technologies)
© Industry Dive. All rights reserved.
関連記事
VPNが危ない どうすれば新手のサイバー攻撃を防げるのか?
VPNを利用していても通信内容を盗まれてしまうサイバー攻撃の手法が見つかった。社外から社内にVPN接続した際にも情報が漏れるため、非常に危険だ。
JAXAも狙われたVPN攻撃、SIEM製品に220の脆弱性、セキュリティニュースまとめ読み
2024年6月17日週に起きた国内や海外の主要セキュリティニュースを紹介する。
在宅社員が狙われる VPN機器へのサイバー攻撃を防ぐポイントとは
ラックは2020年9月8日、VPN機器を狙ったサイバー攻撃が増加しているというテクニカルレポートを公開した。レポートでは増加傾向にあるVPN機器の脆弱性を狙った攻撃と、その攻撃を防ぐための3つのポイントを提言している。