在宅社員が狙われる　VPN機器へのサイバー攻撃を防ぐポイントとは

　米国や英国、ドイツなどの諸外国では脆弱性公表から最初の1週間で2〜5割の製品がアップデートされているが、日本では1割にも満たない。加えて、脆弱性の公表から7カ月たった2020年3月下旬の時点でも、諸外国と比較して日本の脆弱性アップデート対応率は低いままとなっている。

　攻撃者の目線では、この脆弱性を悪用すれば、企業ネットワークに侵入する足掛かりとなる。脆弱性情報の公開から半年経過しても世界で1000台以上の機器が未対応であり、その間も、攻撃コードはインターネットに公開されている。

　一般的な標的型攻撃は、攻撃メールを開封してしまうなど、成功するためには従業員のアクションを必要とする。しかしリモートから脆弱性を狙った攻撃の場合、その必要はなく、攻撃をする側が仕掛けるだけで必要な情報を得られる。脆弱性未対応の機器は攻撃の標的としてうってつけだ。

　ラックのセキュリティ監視・運用センター「JSOC」が監視するユーザーのネットワークでも、Pulse Secureの脆弱性（CVE-2019-11510）を狙った攻撃は多数観測されており、2020年8月時点でも発生し続けているという。

JSOCによるPulse Secureの脆弱性（CVE-2019-11510）を狙った攻撃の観測件数（出典：ラック、テクニカルレポート）

　脆弱性情報の公開から1年たっても攻撃が起きているということは、攻撃をするメリットがあるということだ。つまり対策がされておらず、攻撃が成功する環境がまだあることを示唆する。

対策が遅れる理由

　ラックによると、脆弱性情報が公表された後、アップデートなどの対策を促すと「業務の都合上すぐに対応できない」という言葉を聞くことがあるという。脆弱性情報公表直後の対策率の低さは仕方がないとしても、半年後となっても諸外国と比較して日本の対策率の低さが明確なのは、「脆弱な機器を利用している」という意識がないことが原因の一つだと推察できる。

　組織内にシステムを管理できる担当者がおらず、外部ベンダーを活用している場合や、どのような機器を利用しているか管理できていない場合など、対策の遅れにつながりやすくなる。特に業務上欠かせない基盤システムに対する脆弱性の対処は、アップデート作業そのものの影響だけでなく、被害によって業務が停止した場合のインパクトやビジネス上の多角的な判断が必要だ。

　ラックは「日頃からの管理だけでなく、有事の際に相談できるセキュリティ専門家を用意しておくことも、迅速で的確な意思決定に不可欠だ」と指摘する。また、万が一、認証情報が漏えいした場合でも、被害が発生しないようにパスワードのみの認証ではなく、他の認証と組み合わせた認証方式（多要素認証）が利用できる機器を選定することも重要だとする。

VPN機器の脆弱性を狙った攻撃を防ぐ3つのポイント

　ラックは、VPN機器の脆弱性を狙うサイバー攻撃で被害を受けないために、以下の3つがポイントを提言する。

1.脆弱性のある機器がないかどうか調べる

　利用している機器を調べて、脆弱性が報告されていないかどうかを確認する。影響を受ける機器の情報はJPCERTコーディネーションセンター（JPCERT／CC「複数のSSL、VPN製品の脆弱性に関する注意喚起」）などの信頼できる機関からの情報や、ベンダーから情報提供される。また、使用機器の安全性は、現時点では大丈夫でも明日には分からないものだ。脆弱性情報は「何の前触れもなく、突然発表されるもの」と考え、常に関心を持って最新情報を入手するようにする。

2.脆弱性の影響受ける機器があった場合は速やかに対処する

　脆弱性のある機器が見つかり、発見時点においても修正されていなかった場合は、過去に攻撃を受けている可能性が高いと考えられるため、単なるアップデートの適用だけでなく、機器のアカウントやパスワードの変更とともに、侵害の有無について調査を実施する必要がある。

3.予備機のアップデートも忘れずに

　故障や障害などで予備の機器への交換が発生することもある。そのような場合に備えて、予備機のアップデートも必ず実施する。ラックによると、過去に一度撤去した機器を再導入したことで脆弱性の影響を受けた事例もあったこという。

　先述した2020年夏の事件をきっかけに、ドイツでは未対策のVPN機器が急減したという。ラックは、日本国内でも適切な対策を取ってほしいとする。