VPN認証情報また流出(共同通信、2021年9月11日)

世界中でテレワークなどに使われる米フォーティネット社製の「VPN(仮想私設網)」と呼ばれる機器の認証情報が数万社分流出したことが11日分かった。日本企業が約千社含まれ、多くは中小企業とみられる。

先日、フォーティネット社のVPNと呼ばれる、いわゆる暗号化通信装置の認証情報、簡単に言えばアクセスするためのIDとパスワードが流出したとの報道がありました。その数は8万7千台以上に及びます。このVPN装置ですがインターネットで通信を行う際に、相手に対して認証と暗号化を行って情報が漏れないようにする装置です。認証とは相手が確かに通信しようとする目的の相手なのかを確かめ、保証することで、暗号化は、その通信の内容が他者に漏れないようにする仕組みです。

会社に出勤することなく、自宅から会社のコンピュータやサーバにアクセスし、仕事を行うテレワークにとって必須の機能なのです。このテレワークを行うにあたって安全性の要であるVPNのパスワードが多数漏えいし、その安全性が脅かされたのです。現在のところ、漏えいしたIDやパスワードを使って、サイバー攻撃に遭い、不正アクセスが行われた事例は報告されていません。しかし必ずや、いずれかの会社が被害を被ることでしょう。言い切る理由には根拠があります。

昨年の2020年8月、やはりVPN機器に対するサイバー攻撃が問題になり、国内でも大手企業を中心に30社以上のVPN機器のIDとパスワードが漏えいし、社内の情報が漏えいするという事例が起こりました。この原因はVPN自体の脆弱性ではなく、VPNの設定が正常ではなかったのです。正確には、本来であれば、VPN機器を提供している企業側からの要請に応じて、新しい設定プログラムを導入しなければならかかったにもかかわらず、それを放置したことが原因です。類推するに、コロナ禍となって、VPNを利用する必要性が生じ、倉庫の中から以前に購入したVPN機器を持ち出し、急遽運用したことにあるのでしょう。問題のある以前の設定のまま利用されたことによって、容易にサイバー攻撃を許す結果となったのです。

フォーティネット社のVPN装置におけるアクセス情報の漏えいも昨年11月に同様の事例が起こっており、やはりその際に最新の設定プログラムやIDおよびパスワードの変更を行わなかったことが原因で漏えいを広げた可能性も小さくありません。

今回、新たに認められた8万7千台以上と言われるVPN機器のアクセス情報漏えい(実際は昨年11月の漏えい分との重複があり半分程度の可能性がある)ですが、具体的に漏れたと言われるVPN機器を眺めると、日本の国内で利用されていると考えられる機器が1350台以上ありました。その機器に割り振られているIPアドレスから、逆引きと呼ばれる方法で企業名を検索すると、直接的にはいくつかの中小企業の名前が見られ、多くは法人対象である複数のインターネットプロバイダとなっています。類推するに、そのプロバイダの契約者は大企業ではなく、いわゆる中小企業と考えられます。

極論すれば、VPN機器のアクセス情報の漏えいは大きな問題となりません。その漏えいしたアクセス情報を基にサイバー攻撃が起こらなければ良いのです。つまり漏えいが発覚した時点で瞬時に設定プログラムを最新バージョンに変更し、パスワードを再設定すればサイバー攻撃をほとんど防ぐことが出来、被害は起こり得ないのです。

大企業の場合、サイバーセキュリティを専門とする部署があり、少なくとも「情シス」と称される情報システム全般を管理する部署や人員が配置され、危機対応が可能です。つまり今回のような情報漏えいに関して対象となった企業であることが判明した段階ですぐに対処できるのです。中小企業の場合、プロバイダ側から通知があったとしても対応できない場合が多く、VPN機器自体を認識していない場合も少なくありません。つまりテレワークへの必要性から急ごしらえでプロバイダに委託し、その後の運用、つまりメンテナンスまで手が回らない場合も多く、そのような中小企業はサイバー攻撃の被害に直接結びつくことになるのです。

中小企業の多くはサイバー攻撃に関して鈍感と言わざる得ません。その一つの理由はいまだに漏えいしても被害に結びつく情報はないと考えている企業が多いことにあります。しかし中小企業を対象とするサイバー攻撃の目的はその中小企業に直接的な被害を与えることではなく、中小企業の情報を利用して、その中小企業と取引のある大企業を狙うことにあるのです。例えば、大企業との取引情報、つまり取引内容やその連絡方法、形式等を盗み取ることによって、その中小企業に成りすまし、大企業へのサイバー攻撃の足掛かりとするのです。このように最終的に取引のある大企業、つまりサプライチェーンの上位企業である大企業を狙う攻撃方法を総称して、サプライチェーン攻撃と呼びます。

ここ数年における国内の大企業へのサイバー攻撃の被害事例はほとんどのサプライチェーン攻撃に類する攻撃と言っても過言ではありません。大企業のサイバー攻撃対策はほぼ十分であり内部不正でない限り、ほとんどあり得ない状況です。しかしながら関連企業やサプライチェーン上につながる企業は必ずしも十分な対策を施していない場合も少なくないのです。「蟻の一穴」という言葉があるように、サイバーセキュリティにおいても攻撃側の鉄則はまさにそれなのです。