警察庁に不正アクセス。Fortinet製SSL-VPNの脆弱性CVE-2018-13379を悪用か?
警察庁は27日、庁内の端末1台が外部から不正アクセスを受けていたと発表した。報道内容からは、2019年8月から今月中旬まで46回、複数のIPアドレスから不正アクセスがあったという。
■Fortinet-SSLVPNの脆弱性CVE-2018-13379を利用か?
実は、先日伝えた「Fortinet製SSL-VPNの脆弱性にパッチ未適用のリスト約5万件が公開される。日本企業も含む。」で公開されたIPアドレスの一つに警察庁のものが含まれていた。
これを発見した筆者は、24日に警視庁の「不正アクセスに関する情報提供」から警察庁のIPが含まれていたことを通知。翌25日に警視庁から反応があった。
毎日新聞には「25日に警視庁から「不正アクセスを受けているのではないか」と情報提供があり、発覚した。」とあり、時系列的には一致している。
また、Fortinet-SSLVPNの脆弱性CVE-2018-13379が明るみになったのは、2019年8月にBad Packetsが発表したのがきっかけであったため、2019年8月から不正アクセスを受けていたというのも時系列が一致する。
・Bad Packets
Over 14,500 Pulse Secure VPN endpoints vulnerable to CVE-2019-11510
https://badpackets.net/over-14500-pulse-secure-vpn-endpoints-vulnerable-to-cve-2019-11510/
不正アクセスの詳細は触れられていないが、「VPNの認証情報を第三者が何らかの方法で入手したとみられる」とあるので、Fortineの脆弱性が悪用されていた可能性があるのではないだろうか。
■自分達は狙われないは禁物
今回の警察庁への不正アクセスがFortinet-SSLVPNの悪用だったかは、公式発表が無かったので推測でしかないが、警察庁のIPアドレスが含まれていたことは事実であり、不正アクセスを受けていた時期は最初にこの脆弱性が発見された時期からピッタリと一致している。
これらは偶然かもしれないが、既に本脆弱性を狙っていると見られる「攻撃報告」は多数Twitter等でも投稿されているので、「このリストに対して無差別に不正アクセス」を試みられている動きがあるのは確実だ。
決して他人事と思わず、まずは本脆弱性が該当する機器を利用している企業は、アクセスログの確認し不正なアクセスが無いか早急に確認し、パッチを適用することを推奨する。
