先日発覚した、VPN製品からのID/パスワード流出。(日経新聞の一面にも出ていましたね。)
世界規模で攻撃されており、日本でも国内38社が攻撃を受けたと公表されています。
流出したID/パスワードは「ダークウェブ」で公開されていたため、犯罪者に公開されていたことになります。
今回はそちらについて解説いたします。
(少し小難しいお話です。。)
「VPN」って?
そもそも「VPN」のイメージはございますでしょうか。
「Virtual Private Network」の略で、社内ネットワークに直接つないでいるわけではないのですが、つないだように使える技術のことです。
「VPN」と言っても色々な方式がありますが、ここでは「インターネットVPN」について簡単にご説明します。
(色々と細かな事は省略しているのはご了承ください。)
「インターネットVPN」は、文字通りインターネットを経由して、端末と社内ネットワークを接続するものです。
インターネットを利用しますので、通信コストを大きく抑えることが可能です。
(専用線の敷設は、相当なお金がかかります・・・)
まず「端末」と「社内ネットワークの入口となるVPN装置」で通信を行います。
間の経路はインターネットになります。
接続する際にVPN装置と認証を行い、「端末」と「社内ネットワークの入口となるVPN装置」間の通信経路を暗号化します。
こうすることで、インターネット上の通信内容が分からないようにします。
そして「端末」を「社内ネットワークに接続した端末」と見なしてネットワークを作るため、インターネットを経由しているにも関わらず、社内ネットワークに接続した時と同じ状態を作り出します。
つまり、テレワークをするためにはほぼ必須となる仕組みですね。
パスワードの保管の仕方
少し話は変わりますが、コンピューターがどのようにパスワードを保管しているのかご存じでしょうか。
一般的に、パスワードを保管する時はパスワードから計算した「ハッシュ値」を保管します。
「ハッシュ値」とは、不可逆性をもつ値で、ハッシュ値から元のデータに復元することができないという特性があります。
例えば、パスワードが「AAAA」だったとしましょう。
これをハッシュ化すると「1357」になるハッシュ化ロジックがあったとしましょう。
「AAAA」→ハッシュ化→「1357」になるイメージです。
なぜ不可逆性を持てるかというと、ハッシュ化の計算過程で、わざと一部の情報を欠損させるためです。
そのため、「1357」→逆計算→「AAAA」に復元することができません。
もちろん、ハッシュ化の強度が低いと、力技で元の値が見つかる可能性はあります。
ここ近年のセキュリティ対策で「SHA-2(SHA-256)」に対応、といったメールをご覧になられたこともあるのではないでしょうか。
これはハッシュ化する時の規格の種類で、「MD5」や「SHA-1」といった規格が使われておりました。
これまた小難しい話でしたが、
つまり、コンピューターは「入力したパスワードの値」をそのまま保存しているのではなく、「ハッシュ化した値」を保存しておくことで、保存領域が盗み見られてもパスワードが分からないようにしているのです。
今回の事件の真相
今回、米Pulse Secure(パルスセキュア)社のVPN製品に既知の脆弱性があり、それを悪用されたようです。
この脆弱性は既知の脆弱性であり、対策パッチも出ていたようです。
しかし、出まわっている機器全てがパッチを当てているわけもなく、当たっていない機器が攻撃を防げなかったようです。
既知の脆弱性を利用し、VPN機器に潜入。情報を抜き取ったようです。
ただ、上述の通り「ハッシュ化されたパスワードが盗まれても使い道がないのでは?」と疑問に感じた方はセンスがよいですね!
通常であればそうなのですが、ところがこの製品、なんとIDやパスワードそのものが保存されていた場所があったようです。
脆弱性をつかれて機器に侵入、その場所の情報を取得されてしまった、というのが事件の真相のようです。
テレワークが活発になりVPNが盛んに使われはじめたのを狙われたのかもしれません。
さらに、VPNに接続するためのID/パスワードですので、社内ネットワークに侵入されたのと同じですね。
ID/パスワードに関する効果的な管理方法
現実的に、ID/パスワードの漏洩を完全に防ぐことは無理と考えた方がよいです。
流出する前提で考えた場合、効果的なのは
- 二段階認証の導入(パスワードだけでは入れない)
- パスワードの使い回しは絶対にしない(流出しても他サービスに影響はない)
といった対応ですね。
みなさまも、ご注意ください。
メルマガ登録
『メルマガ Professional's eye』
週1回、3分で楽しめます。
詳細はこちら >>>
広告を含むご案内のメールをお送りする場合があります。
One more thing
なんだか偉そうにセキュリティについて語っていますが、先日、私もやらかしました。
最大のセキュリティホールは人間、だと痛感しました・・・
きちんと見るとどう見ても怪しいECサイトだったのですが、クレジットカードを入力してしまうというミスをしてしまいました。 不審に感じ、すぐに該当クレジットカードを停止しましたので、金銭的な実被害はなし。(クレジットカード切替の手間などは発生[…]
