開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2021/01/04

警察庁も被害…だが「VPNは危険でゼロトラストネットワークは安全」ではない

2020年11月27日、警察庁の端末に不正アクセスがあったと発表された。原因はVPN装置の脆弱性(CVE-2018-13379)とされる。関連して、同じ脆弱性で攻撃可能なVPN装置約5万件ものリストも確認された。VPNはテレワークの普及とともに再注目されたが、こうした脆弱性の課題もあり、「ゼロトラストネットワーク」への移行を唱えるベンダーも増えている。VPNは危険で、ゼロトラストネットワークなら安全なのか? しかし、議論の本質は違うところにある。

フリーランスライター 中尾真二

フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

photo
急拡大するVPN、装置の脆弱性が狙われたが…
(Photo/Getty Images)

1年以上前の脆弱性が狙われる現実

 警察庁内の端末1台が、外部から不正アクセスを受けていたことが判明した。被害にあったのは、発注などに使っている業務用のPCだ。警視庁から不正アクセスされているのではないと指摘され、調査を行ったところ当該PCに複数のIPアドレスからの不正アクセスが確認された。確認された期間は2019年8月からとされ、2020年11月まで、1年以上攻撃に気が付かなかったことになる。

 侵入は、リモートアクセスに使っていたVPN装置の脆弱性を突かれ、ログインパスワードが利用されたと思われる。この脆弱性(CVE-2018-13379)はフォーティネット(Fortinet)製のルーターに2018年12月に発見されたもの。フォーティネットは2019年5月に修正版を公開している。

 ちなみに、この脆弱性については2019年8月に開催されたセキュリティカンファレンス「Blackhat USA」で攻撃のPoCコードが公開されている。これは警察庁のPCに不正アクセスが始まった時期と重なる。犯人がBlackhatで公開されたPoCを利用したかは不明だが、BlackhatでのPoC公開の3カ月も前にパッチが公開されているのに、カンファレンスでPoCが公開された時点で実害が起きていることは、多くのセキュリティ担当者にとって頭が痛い現実を見てしまったことになる(それも何度目だろう)。

 しかし、警察庁が特別に怠惰だとは言えない。2020年11月、この脆弱性(CVE-2018-13379)のパッチを適用していないVPN機器のIPがリスト化され、クラッカーなどが閲覧するフォーラムに投稿されていた。そのリストは約5万件に及んでいたという。

 脆弱性ハンドリングの欠点は、パッチや修正プログラムの適用を強制できないことだ。技術的な理由でパッチを適用できない状況も存在するが、結果として、「うちが狙われることはないだろう」という生存バイアスによって脆弱性が放置されてしまう。ゼロデイ攻撃に怯えるのも良いが、過去の脆弱性のほうがよほど危険だ。


IoT機器の脆弱性管理の難しさ

画像
パッチ適用やバージョンアップがセキュリティ対策の基本だが、徹底するのは簡単ではない
(Photo/Getty Images)

 脆弱性管理は、とにかくパッチを当てる、バージョンアップをすることに尽きるのだが、現実にこれを徹底することはそう簡単ではない。企業システムにおいて、これはある程度やむを得ない。必要悪ともいうべきもので、セキュリティ担当者は、確実な対応策がバージョンアップだとしても、それを100%実施する・できることを前提としてはならない。

 既存システムへの影響の確認には時間と手間がかかる。その都度システム停止やシステム改修を行うのは現実的に不可能だろう。パッチを当てられない場合の「プランB」とセットで考えなければならない。仮にパッチ適用が可能な場合でも、それがPCやIoT機器などエンドデバイスの脆弱性だと、そもそもすべてのデバイスの管理・パッチ適用が可能なのかという現実も立ちはだかる。

 UTM(統合脅威管理)製品の脆弱性であるCVE-2018-13379は、まさにこの問題が当てはまる事例といえる。フォーティネット社の製品は国内UTM市場において35%近くを占めている。理由は、もちろん製品自体の機能など市場競争力があるからに他ならないが、フォーティネットはNTT東日本、NTT西日本の取り扱い製品の1つであることも指摘しておきたい。

【次ページ】ゼロトラストネットワークにしても解決にはならない

セキュリティ戦略 ジャンルのトピックス

セキュリティ戦略 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!