No173 VPN機器の脆弱性、あなたの組織は対応できる?
2020/8/25にVPN機器のパスワードが盗み取られるという新聞
報道がありました。
「VPN通信機器の脆弱性を利用したサイバー攻撃、NISCが対策呼び掛け」
https://cybersecurity-jp.com/news/38962
これを見て「ウチは大丈夫なんだろうか?」と不安に感じる方も
おられるかと思います。
今回はこの報道をネタに、ネットワーク機器のバージョンアップで
注意すべき点について解説します。
(セキュリティ事故対策の手順書作成方法については次回以降に
解説を続けます)
1. どんな事件なの?
上述の記事から、冒頭の一文を引用します。
「内閣サイバーセキュリティーセンター(NISC)はこのほど、
米国特定企業Pの通信機器を導入した企業900社について、同社ら
のVPNに対するサイバー攻撃が確認されたと明らかにした」
(上記の https://cybersecurity-jp.com/news/38962 より引用)
この報道で目を引くのは900社もの企業が対象になっている点です。
大規模で組織的な攻撃があったのか?と疑ってしまいますが、
そういうわけでもなさそうです。
今回の記事では攻撃のターゲットとなりうるサーバ一覧が作成され
たとのことですので、おそらくはその一覧を作る時に確認のために
攻撃してみた、ということなのでしょう。
もちろん、調査目的でも無断で他人のサーバに攻撃を仕掛けるのは
犯罪ですから「サイバー攻撃が確認された」はあながち間違いでは
ありません。ですが重要情報の盗用いった被害が確認されたわけ
ではないようです。
じゃあ、これは単におおげさなニュースで、実はたいした問題では
ないと考えてよいのでしょうか?
そんなことはありません。
このような一覧が作られると、それを元に攻撃を仕掛ける犯罪者
が出てきますし、攻撃が行われればその会社の重要な秘密情報が
抜き取られる危険があります。
決して放置して良い問題ではなく、対象となった会社は必ず対応が
必要な問題なのです。
幸い、今回の問題の影響を受けるのは何年も前からこの製品を導入
している組織だけです。
今回の問題は後述するように2019年春の時点でバグであることが
わかっており、開発元から修正版も提供されています。
ですので、2019年春以降にVPNを導入した組織ではこの問題は発生
しないので、安心してください。
2. 改めてVPNとは何か?
VPNについては 「No155 在宅勤務を支えるVPNをご存知ですか?」
で解説しました。
https://note.com/egao_it/n/nd36db106749b
ですが、お忘れの方もおられると思いますので、軽くおさらい
しておきます。
VPNは Virtual Private Network の略です。
直訳すれば「仮想的なプライベートネットワーク」なのですが、
なんのこっちゃ?と言わんばかりのわからなさですよね。
「仮想的」もわからないし「プライベートネットワーク」も馴染み
のない言い回しです。
ものすごく端折って言うと、「自宅にいながら組織内部の秘密情報
を見たり書いたりできる」技術です。
もちろん、無関係な人に組織の秘密情報を簡単に見られては困り
ます。組織メンバは接続できるけど、それ以外の人は接続できない
という仕組みが必要ですが、VPNはそれを実現しています。
具体的には、組織メンバが使うときには接続情報(IDとパスワード
や電子証明書などの情報)を使い、正しい利用者であることを確認
するのです。
逆に言えば、VPNの接続情報を入手できれば、その組織の秘密情報
にアクセスできてしまうわけです。
VPNの接続情報を不正に入手されるといかに危険かご理解いただける
と思います。
接続情報が漏れることで企業の存続すら危ぶまれる可能性があるの
です。
3. 今回の問題は脆弱性だった
今回の問題は、悪意を持った第三者が不正にVPNの接続情報を入手
できる可能性があるというものでした。
その原因となるのはVPN製品の脆弱性(バグ)でした。
このバグは2019年4月の時点で発見されており、その時点で修正版
も提供されていました。
一年以上も前の話なのに、どうして今になってニュースになったの
でしょう?
上記の通り修正版が提供されているにもかかわらず、どうして900
社もの会社が修正版にアップデートしていなかったのでしょうか?
4. ネットワーク機器のアップデートの難しさ
筆者の想像になりますが、いくつかの理由がありそうです。
1)ネットワーク機器ってアップデート必要なの?
2)新バージョンの通知を受け取っていない
3)使っている機器やアプリのバージョンって?
4)現状に問題がないので更新したくない
以下ではそれぞれについて解説します。
5. ネットワーク機器ってアップデート必要なの?
別にネットワーク機器に限らず、製品を購入設置して期待通りに
動いてくれれば、それ以降はその機器のことを忘れてがちです。
例えば、冷蔵庫を買った後もリコール情報をまめに確認する人
などまずいないでしょう。
コンピュータ関連の機器はバグや脆弱性というやっかいな特性が
あります。少し考えれば定期的に確認が必要なのはわかりそうな
ものですが、それでもマメに確認する人なんてほとんどいません。
つまり、脆弱性があることも知らなければ、攻撃を受ける可能性も
知りません。当然ながら対応なんて取れるはずがありません。
6. 新バージョンの通知を受け取っていない
上述のように意識的に確認をしない限り、新バージョンの公開の
事実があっても、知りようがありません。
開発元は利用者登録してくれたユーザや販売会社経由のユーザには
連絡できますが、中古で入手した場合や、連絡先が変わった場合
(メールアドレス変更、事務所の引っ越しなど)には簡単に連絡が
取れなくなります。
こういった場合、販売元としては連絡をしたくても連絡が通じない
ことになります。
7. 使っている機器やアプリのバージョンって?
仮に自力でバージョンアップを調べようとしても、そもそも現在の
バージョンの調べ方がわからなければ、アップデートが必要かどう
かの判断すらできません。
いえ、バージョンがわからないくらいならまだ良いほうです。
自分の組織で使っているネットワーク機器ってナニ?いう方が普通
かもしれません。
こうなると、まず社内にあるネットワーク機器の棚卸が必要です。
でも発見した機器が他社に業務移管してたり、ビジネスから撤退
していたりといったケースもあることでしょう。
自分たちでやってもいいのですが、キチンと網羅するのは意外に
難度が高い作業です。(お金はかかりますが)出入りの業者に依頼
することをオススメします。
8. 現状に問題がないので更新したくない
ここまでクリアできたとしても、最後に非常にやっかいな問題が
残ります。
積極的に脆弱性情報を収集し、今回のような脆弱性が発見された
時に積極的にバージョンアップをしたとしましょう。
プログラムにバグはつきものです。修正版のプログラムを動かす
ことで、ひょっとすると今まで使えていた利用者が使えなくなる
可能性はゼロではありません。
現場のメンバにとってはネットワーク機器なんて空気と同じで
動いて当然、動かないのはネットワーク担当者の怠慢ということ
になりがちです。
がんばっていろいろと工夫して動かし続けても当然だと思われ、
動かなければスグに叱責を受ける、しかもそれは本業じゃない。
こんな前提を置くと、トラブルを呼び込むかもしれないバージョン
アップには、誰だって慎重になりますし、できればバージョンアップ
しないで済ませたくなります
よほどの理由がない限り、バージョンアップなんてしたくない、と
いうのが多くのネットワーク担当者のホンネでしょう。
9. で、結局どうすればいい?
ここまでに書いたとおり、ネットワーク機器の管理はマジメにやる
とものすごく面倒で手間がかかる割には、得るものが少なく見え
ます。
もちろん、実際には手間をかければかけただけ安全な環境を得る
ことができているのですが、それを実感できる場面があまりに
少ないのです。
これを乗り越える方法を書き出すときりがないのですが、ここでは
2点だけを指摘しておきます。
一つは、組織の責任者を巻き込むことです。
情報セキュリティ事故というのは、組織の存続に直結します。
「オレはITなんてよくわからんからまかせるよ」なんて話ではあり
ません。
セキュリティ対策の本質は組織活動です。コンピュータやネット
ワークといったITの上っ面に惑わされないでください。
セキュリティ対策のため、現場に不便を強いる決断をせざるを
得ない場合もあり、その決断は組織の責任者の仕事なのです。
ですから、組織の責任者を巻き込むことは何よりも重要です。
もう一つは現場の理解を得ることです。
ネットワーク機器のバージョンアップによるリスクがあることの
理解をえることも大事ですが、万一の事態に業務を継続する方法を
日常から考えておいてもらうことはさらに大切です。
責任者も現場も組織の全員でセキュリティインシデント(事故)に
対応するためにも、日常の活動が大切です。
実は、先日から連載している手順書作成もこういった視点で考える
といろんな気づきがあったりします。
というわけで、次回からはセキュリティ事故での手順書作成の解説
を続けます。
次回もお楽しみに。
このNoteは私が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html
この記事が気に入ったらサポートをしてみませんか?