2023 年 01 月 10 日
VPN 機器の脆弱性に注意 ~最新版へのアップデートと認証強化を!~
VPN機器の脆弱性
2022年10月以降、JPCERT/CCよりFortiNet 社製の VPN機器のソフトウェアの脆弱性に関する注意喚起が行われています。
すでに脆弱性に対応した最新版が公開されています。開発者が提供する情報をもとに常に最新版にアップデートすることが必要です。
【VPN機器の脆弱性による想定される影響は】
脆弱性によって、影響を受ける可能性がある内容は以下のとおりです。
認証バイパスの脆弱性(CVE-2022-40684)で、脆弱性が悪用されると、認証されていない遠隔の第三者によってVPN機器の管理インターフェースに細工し、任意の操作が行われる可能性があります。
SSL-VPNにおけるバッファーオーバーフローの脆弱性(CVE-2022-42475)で、脆弱性を悪用されると、認証されていない遠隔の第三者によって細工したリクエストを送信し、任意のコードやコマンドを実行される可能性があります。
(出典)JPCERT/CC
脆弱性を悪用したランサムウェア攻撃の被害
過去にもVPN機器の脆弱性を悪用したランサムウェア攻撃による被害が起きており、警察庁が公開する「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、「VPN機器からの侵入」が32件(68%)を占めており、利用される機器などの脆弱性や強度の弱い認証情報などを利用して侵入されたとした考えのものが83%と大半を占めています。
(出典)警察庁「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」
VPN機器の脆弱性を悪用された被害は、組織や企業の規模を問わず企業だけではなく医療機関などでも発生しています。ランサムウェアによる被害報告件数は年々増加しており、VPN機器をはじめとする脆弱性を狙って侵入する手口が多くなっています。認証情報であるユーザー情報やパスワードが流出することでこのような被害に遭うケースが多くあります。
(出典)警察庁「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」
- VPN
- Virtual Private Network. 暗号化技術を使い、仮想的に拠点間のプライベートなネットワークを構成する接続方法で、盗聴される危険性が極めて低くなり、安全に拠点間の通信ができる。また、通信回線と一体的に提供される VPN であれば、インターネットを経由しないため、高速な通信を期待できる。
最新版へのアップデートと認証強化
VPN機器のみならず、利用するオペレーティングシステム、ミドルウェア、ライブラリやネットワーク機器など、すべてのソフトウェアに脆弱性が存在しないか常に点検を行い、最新の状態しておくことが重要です。認証情報が流出してしまうことで、さらなる被害が発生する原因となるため、IDとパスワードのみによる認証では、電子証明書による多要素認証を利用することで対策することができます。
ID/パスワードのみの認証方式を用いると、許可されていない端末や悪意ある第三者からの不正な接続が行われ脆弱になる可能性があります。
サイバートラストが提供している端末認証サービス「サイバートラスト デバイス ID」は、端末識別情報を確認し、管理者が許可した端末にのみデバイス証明書を登録することによって、厳格な端末認証が可能なデバイス証明書発行管理サービスで、不正なデバイスからのアクセスを排除することができます。
Windows、Mac、iPhone、iPad、Android 搭載端末、Chromebook など幅広い端末に対応しています。
多くの VPN 機器は、デバイス証明書による認証方式に対応しています。デバイス証明書を活用した端末認証によってより安全な VPN 接続を行い、許可された端末のみをアクセス可能にすることで、不正な端末や機器の接続を防止します。デバイス証明書の活用により、利便性を損なわずセキュリティ強度を高めることが可能です。
「サイバートラスト デバイス ID」は、無償で 1 ヶ月間、10 台までの機器で評価いただけるトライアルキットを提供しており、トライアルのお申し込み完了時点から本ポータルをご覧いただけますので、ご興味がありましたら、是非ともお申し込みください。
「サイバートラスト デバイス ID」無償トライアルキットのお申込みはこちら本記事に関連するリンク
*本記事に掲載の内容(情報・画像)は、本記事掲載時点での当社調べに基づくものであり、今後各社により変更される可能性があります。あらかじめご了承ください。
