【メルマガ】VPN機器からパスワードが漏洩!テレワークの要がピンチ(2020年09月01日)

先日発覚した、VPN製品からのID/パスワード流出。(日経新聞の一面にも出ていましたね。)
世界規模で攻撃されており、日本でも国内38社が攻撃を受けたと公表されています。

流出したID/パスワードは「ダークウェブ」で公開されていたため、犯罪者に公開されていたことになります。

今回はそちらについて解説いたします。
(少し小難しいお話です。。)

「VPN」って?

そもそも「VPN」のイメージはございますでしょうか。

「Virtual Private Network」の略で、社内ネットワークに直接つないでいるわけではないのですが、つないだように使える技術のことです。
「VPN」と言っても色々な方式がありますが、ここでは「インターネットVPN」について簡単にご説明します。
(色々と細かな事は省略しているのはご了承ください。)

「インターネットVPN」は、文字通りインターネットを経由して、端末と社内ネットワークを接続するものです。
インターネットを利用しますので、通信コストを大きく抑えることが可能です。
(専用線の敷設は、相当なお金がかかります・・・)

まず「端末」と「社内ネットワークの入口となるVPN装置」で通信を行います。
間の経路はインターネットになります。

接続する際にVPN装置と認証を行い、「端末」と「社内ネットワークの入口となるVPN装置」間の通信経路を暗号化します。
こうすることで、インターネット上の通信内容が分からないようにします。
そして「端末」を「社内ネットワークに接続した端末」と見なしてネットワークを作るため、インターネットを経由しているにも関わらず、社内ネットワークに接続した時と同じ状態を作り出します。

つまり、テレワークをするためにはほぼ必須となる仕組みですね。

パスワードの保管の仕方

少し話は変わりますが、コンピューターがどのようにパスワードを保管しているのかご存じでしょうか。
一般的に、パスワードを保管する時はパスワードから計算した「ハッシュ値」を保管します。

「ハッシュ値」とは、不可逆性をもつ値で、ハッシュ値から元のデータに復元することができないという特性があります。

例えば、パスワードが「AAAA」だったとしましょう。
これをハッシュ化すると「1357」になるハッシュ化ロジックがあったとしましょう。
「AAAA」→ハッシュ化→「1357」になるイメージです。

なぜ不可逆性を持てるかというと、ハッシュ化の計算過程で、わざと一部の情報を欠損させるためです。
そのため、「1357」→逆計算→「AAAA」に復元することができません。

もちろん、ハッシュ化の強度が低いと、力技で元の値が見つかる可能性はあります。
ここ近年のセキュリティ対策で「SHA-2(SHA-256)」に対応、といったメールをご覧になられたこともあるのではないでしょうか。
これはハッシュ化する時の規格の種類で、「MD5」や「SHA-1」といった規格が使われておりました。

これまた小難しい話でしたが、
つまり、コンピューターは「入力したパスワードの値」をそのまま保存しているのではなく、「ハッシュ化した値」を保存しておくことで、保存領域が盗み見られてもパスワードが分からないようにしているのです。

今回の事件の真相

今回、米Pulse Secure(パルスセキュア)社のVPN製品に既知の脆弱性があり、それを悪用されたようです。
この脆弱性は既知の脆弱性であり、対策パッチも出ていたようです。

しかし、出まわっている機器全てがパッチを当てているわけもなく、当たっていない機器が攻撃を防げなかったようです。

既知の脆弱性を利用し、VPN機器に潜入。情報を抜き取ったようです。

ただ、上述の通り「ハッシュ化されたパスワードが盗まれても使い道がないのでは?」と疑問に感じた方はセンスがよいですね!

通常であればそうなのですが、ところがこの製品、なんとIDやパスワードそのものが保存されていた場所があったようです。
脆弱性をつかれて機器に侵入、その場所の情報を取得されてしまった、というのが事件の真相のようです。

テレワークが活発になりVPNが盛んに使われはじめたのを狙われたのかもしれません。
さらに、VPNに接続するためのID/パスワードですので、社内ネットワークに侵入されたのと同じですね。

ID/パスワードに関する効果的な管理方法

現実的に、ID/パスワードの漏洩を完全に防ぐことは無理と考えた方がよいです。

流出する前提で考えた場合、効果的なのは

  • 二段階認証の導入(パスワードだけでは入れない)
  • パスワードの使い回しは絶対にしない(流出しても他サービスに影響はない)

といった対応ですね。

みなさまも、ご注意ください。

メルマガ登録

"意見が持てる" デジタルコラム
『メルマガ Professional's eye』

週1回、3分で楽しめます。


詳細はこちら >>>
送信時点で「Privacy Policy」に同意したものとみなします。
広告を含むご案内のメールをお送りする場合があります。

One more thing

なんだか偉そうにセキュリティについて語っていますが、先日、私もやらかしました。
最大のセキュリティホールは人間、だと痛感しました・・・

関連記事

きちんと見るとどう見ても怪しいECサイトだったのですが、クレジットカードを入力してしまうというミスをしてしまいました。 不審に感じ、すぐに該当クレジットカードを停止しましたので、金銭的な実被害はなし。(クレジットカード切替の手間などは発生[…]

バックナンバーを見る

>情報システムの

情報システムの"教科書"本を発売中!


■ 情シス、システムコンサルタント、システムエンジニアの方へ
情シスの定石(技術評論社)

■ システムエンジニア、情シスの方へ
システム設計の教科書(技術評論社)

CTR IMG

株式会社グロリア ご紹介