VPN(Virtual Privte Network 仮想プライベートネットワーク)は安全な通信を確保するテクノロジーです。インターネットを道路に例えるなら、荷物を晒して運ぶよりも輸送車に積んで運んだ方が安全です。ネットワークでは輸送車ではなくVPNがデータ保護の役割を担っています。新型コロナウィルスによってリモートワークが増える中、VPNを利用する企業が増えています。しかし、輸送車のドアが壊れていることを知らずに、あるいは知っていても修理することなく重要なデータを運んでいたら、そして犯罪者がそのことを知っていたらどうなるでしょうか?
台湾・DevcoreがSSL-VPNを調査した結果…
フォーティネットは米カリフォルニア州に拠点を置く統合脅威管理製品(UTM)の世界的な開発、製造メーカーで国内に日本法人があり、内閣サイバーセキュリティセンター(NISC)とはサイバーセキュリティ分野で連携・協力する関係にある企業のようです。統合脅威管理製品とは、セキュリティ対策を統合的に行うシステムを提供する製品で、ファイアウォール、VPN、トラフィック制御、アンチウィルス、アプリケーション制御など多くのセキュリティシステムを統合して一元管理するものです。同社が提供する製品はFortiOSというOS上で動くようです。
2018年8月、台湾のDevcoreがSSL-VPNのセキュリティに関する調査プロジェクトを立ち上げました。SSL-VPNは、暗号化にSSL技術を使ったリモートアクセスVPNのことで、簡易にVPN通信を行うことができるため利便性が高く、多くの企業が導入している実態があります。Devcoreによると、SSL-VPNは上位3社のベンダーが市場の75%を占めているということです。これら製品にセキュリティ上の問題があれば大きな影響があることから、サイバーセキュリティのコンサルティングなどを手がけている同社でSSL-VPNのセキュリティについて調査をすることにしたということです。
その結果、FortiOSのSSL-VPN機能に脆弱性のあることが判明、2018年12月にフォーティネットに報告され、フォーティネットによって修正等の対策が施されました。この脆弱性はCVE-2018-13379として国内でも関係機関より発出されています。フォーティネットの脅威研究チーム、FortiGuardラボは2019年5月にアドバイザリーを発出し、「ログインしたSSL-VPNユーザーの資格情報を取得するためにこの脆弱性を悪用するコードが開示されていることに注意してください」と対応を呼びかけています。
「脆弱性対応の責任が不明瞭なケースが多い」との指摘も
ところが、2020年11月に脅威インテリジェンスアナリストのBank Securityによって、パッチなどの対策がとられていないCVE-2018-13379の脆弱性が残されたままのホスト計約5万件の情報がハッカーフォーラムにあることが発見されました。脆弱性を悪用してVPNの資格情報を盗むためのエクスプロイトのリストも投稿されていたようです。ハッカーフォーラムで見つかった5万件もの情報の中には、日本の企業や機関のホスト情報も含まれており、これらホストを放置していればCVE-2018-13379を悪用してネットワークに侵入され、情報搾取やランサムウェア攻撃を受ける恐れもあることからJPCERTなどが対策に乗り出し、内閣サイバーセキュリティセンター(NISC)が注意を喚起する事態となりました。
VPNの脆弱性を狙ったサイバー攻撃に関しては、Pulse Secure製のVPN機器へのサイバー攻撃で国内38社の認証情報が漏えいしていたことが2020年8月に発覚したことから、翌9月にはJPCERTが「複数のSSL VPN製品の脆弱性に関する注意喚起」を出し、この中でフォーティネットの脆弱性CVE-2018-13379についても早急な対策を推奨していました。しかし、なおパッチなどの対策をしていないホストが国内に多数あることが判明したことで、脆弱性情報が十分に行き届いていない、あるいは理解されていない実態があるようにも思われます。
また、「VPN機器は、企業内で意識的に管理されるサーバ等と異なり、ネットワークサービスの一部として提供されるケースもあり、運用体制や脆弱性対応の責任が不明瞭なケースも多い」(経産省)とのことですので、VPNのサービスや運営上のセキュリティについて十分に理解されないまま利用されている実態があるのかもしれません。しかし、攻撃者は放置されたままの脆弱性を狙っています。リスクの本質は脆弱性そのものよりも、リスクを理解することなく脆弱性を放置していたり、対応する責任の所在が不明瞭だったりすることにあるようです。
【出典】
https://devco.re/blog/2019/08/09/attacking-ssl-vpn-part-2-breaking-the-Fortigate-ssl-vpn/
https://www.fortiguard.com/psirt/FG-IR-18-384
https://www.nisc.go.jp/active/infra/pdf/fortinet20201203.pdf