日本でも企業で多く使われている、フォーティネットのVPN(仮想私設網、データを外部から読み取られないために利用する)のログイン情報が大量(現在では、当初87,000件→50万件以上)に流出していることが、各所で報道、公表されています。
日本ではセキュリティの情報流出に関しさらりと報道
土曜日、セキュリティ問題に関し非常に重要なニュースがさらりと流れました。
「リモートワークなどに使われる米フォーティネット社の「VPN(仮想私設網)」と呼ばれる機器の認証情報が数万社分(件数では約87,000件)流出したという内容(共同通信)です。
ハッキングの情報について紹介を行う、The Hacker Newsでも、Hackers Leak VPN Account Passwords From 87,000 Fortinet FortiGate Devicesという記事で世界的な内容や対策が扱われています。
しかし、この87,000件は、後から50万件以上であるという事が各所から言われています。
フォーティネットは全てのVPNを直ちに無効→機器のVerを最新(6.2.8など)にアップグレードしてから組織全体のパスワードリセットを推奨しているという事で、システムのアップデート・パスワード全体の変更は今すぐすべき行動と言えます。
Twitterでも、懸念するつぶやきが。
ハッカーがFortinet VPN のユーザのID/PW、50万人分を公開。昨年夏にscarapeされたもの。Fortinetの脆弱性はpatchが既に当てられたがユーザの多くは今でも同じcredentialを利用しているという。
IPアドレスで検索しやすくして下さった方が現れた。 https://t.co/ZsxgwjFGlj
— 高梨陣平 (@jingbay) September 9, 2021
Fortinetの漏えい認証情報を(遅々として)調べていますが、日本の管理者パスワード、結構「ヤバイ」です。
今回の流出を受けて変更する(変更を既にしている)所が多いかと思いますが、小手先で脆弱なパスワードが再設定される可能性を強く感じます。
— キタきつね (@foxbook) September 12, 2021
ハッカーがFortinet VPN のユーザのID/PW、50万人分を公開。昨年夏にscarapeされたもの。Fortinetの脆弱性はpatchが既に当てられたがユーザの多くは今でも同じcredentialを利用しているという。
IPアドレスで検索しやすくして下さった方が現れた。 https://t.co/ZsxgwjFGlj
— 高梨陣平 (@jingbay) September 9, 2021
「既知脆弱性の修正やパスワードのリセットなど対策を実施するよう呼びかけた」
ここまでが対策としてセットですね。利用者に呼び掛けたとのことですがどれくらいリーチできているのでしょうね。
VPN機器8.7万台分の認証情報が公開 – Fortinetが注意喚起 https://t.co/z9BCVgYgVq
— 辻 伸弘 (nobuhiro tsuji) (@ntsuji) September 9, 2021
流出と書くとfortinet内部から漏れたように見えるけれど、前回のは既知の脆弱性を放置した装置にログインされて、アカウントをリスト化されたものだった。
— gamix korin (@gamix255) September 12, 2021
共同通信の情報では、日本の流出したログイン情報は、1,000社、中小企業中心ということで、
放置すればハッカーに侵入され情報を盗まれる恐れがある。同社は流出を認め、パスワード変更などの対策を取るよう呼び掛けている。
ということですが、行動の早いハッカーなどからすれば、既にこのリストを元に、何らかの行動を起こしている可能性は想定できます。
フォーティネットのシステムは日本のUTM(統合脅威管理)としてはシェアNo1ということで、導入している企業も少なくないと思います。
フォーティーネットのシステムを導入している企業は、組織全体のパスワードリセット等を早急に行う必要があるとともに、保守契約などを結んでいる場合はベンダーと対策を相談する必要があると言えます。
ただ、うちはフォーティーネット使ってないから関係ない、ということは言い切れません。
セキュリティに詳しい森井昌克氏は、今回の件がサプライチェーン侵入の踏み台にされることを懸念
これは、現在FORTINETを利用している企業だけの問題ではないということを、神戸大学大学院工学研究科教授の森井昌克氏はYahooの記事で指摘しています。
森井教授の指摘するポイントを箇条書きにすると、
- VPN装置→インターネットで通信を行う際に、相手に対して認証と暗号化を行って情報が漏れないようにする装置
- 認証とは相手が確かに通信しようとする目的の相手なのかを確かめ、保証することで、暗号化は、その通信の内容が他者に漏れないようにする仕組み
- 会社に出勤することなく、自宅から会社のコンピュータやサーバにアクセスし、仕事を行うテレワークにとって必須の機能
- テレワークを行うにあたって安全性の要であるVPNのパスワードが多数漏えい
- 現在のところ、漏えいしたIDやパスワードを使って、サイバー攻撃に遭い、不正アクセスが行われた事例は報告されていない
- しかし必ずや、いずれかの会社が被害を被る。言い切る理由には根拠がある
- 昨年の2020年8月、やはりVPN機器に対するサイバー攻撃が問題になり、国内でも大手企業を中心に30社以上のVPN機器のIDとパスワードが漏えいし、社内の情報が漏えいするという事例が起こった
- この原因はVPN自体の脆弱性ではなく、VPNの設定が正常ではなかったこと
- 正確には、本来であれば、VPN機器を提供している企業側からの要請に応じて、新しい設定プログラムを導入しなければならかかったにもかかわらず、それを放置したことが原因
- 具体的に漏れたと言われるVPN機器を眺めると、日本の国内で利用されていると考えられる機器が1350台以上
- 機器に割り振られているIPアドレスから、逆引きと呼ばれる方法で企業名を検索すると、直接的にはいくつかの中小企業の名前が見られ、多くは法人対象である複数のインターネットプロバイダとなっている
- 類推するに、そのプロバイダの契約者は大企業ではなく、いわゆる中小企業
- 極論すれば、VPN機器のアクセス情報の漏えいは大きな問題ではない
- 漏えいが発覚した時点で瞬時に設定プログラムを最新バージョンに変更し、パスワードを再設定すればサイバー攻撃をほとんど防ぐことが出来、被害は起こり得ない
- 大企業の場合、サイバーセキュリティを専門とする部署があり、少なくとも「情シス」と称される情報システム全般を管理する部署や人員が配置され、危機対応が可能
- 中小企業の場合、プロバイダ側から通知があったとしても対応できない場合が多く、VPN機器自体を認識していない場合も少なくない
- テレワークへの必要性から急ごしらえでプロバイダに委託し、その後の運用、つまりメンテナンスまで手が回らない場合も多く、そのような中小企業はサイバー攻撃の被害に直接結びつくことになる
- 中小企業を対象とするサイバー攻撃の目的はその中小企業に直接的な被害を与えることではなく、中小企業の情報を利用して、その中小企業と取引のある大企業を狙うことにある
- 大企業との取引情報、つまり取引内容やその連絡方法、形式等を盗み取ることによって、その中小企業に成りすまし、大企業へのサイバー攻撃の足掛かりとする
- 最終的に取引のある大企業、つまりサプライチェーンの上位企業である大企業を狙う攻撃方法を総称して、サプライチェーン攻撃と呼ぶ
- ここ数年における国内の大企業へのサイバー攻撃の被害事例はほとんどのサプライチェーン攻撃に類する攻撃
- 関連企業やサプライチェーン上につながる企業は必ずしも十分な対策を施していない場合も少なくない。「蟻の一穴」という言葉があるように、サイバーセキュリティにおいても攻撃側の鉄則はまさに、中小企業のセキュリティの弱い部分を狙ってくる
様々な背景も踏まえ、引用した部分が多くありますが、一言で言うと「うちは情シスいるし、フォーティーネットを使っていないから関係ないやとは限らない」ということです。
さらに、当初の流出件数より、数が50万件以上と増えていることで、さらに該当する企業が増えている可能性があります。
今後も動向を注視していく必要があると言えます。
FORTINETの流出データは昨年夏のデータと言われるが、まだ有効なデータも多いと海外サイトが伝える
海外サイトのBLEEPINGCOMPUTERの記事では、
- 昨年夏に悪用可能なデバイスから取得
- 脆弱性に関するパッチは(FORTINET側により)適用されているが、多くのクレデンシャル(ID・パスワード等のアクセス情報)情報はまだ有効とハッカー側が主張しているが、実態は不明
- VPNクレデンシャルを悪用することにより、攻撃者がネットワークにアクセスしてデータの漏えいを実行したり、マルウェアをインストールしたり、ランサムウェア攻撃を実行したりする可能性がある
- 12,856台のデバイスを超える498,908人のユーザーのVPNクレデンシャルが含まれている
- フォーティーネットのサーバーの管理を行っている場合は、全ユーザーのパスワードの強制リセットを実行、侵入の可能性についてアクセスログをチェックすることが要される
- デバイスがリークの一部であるかどうかを確認するために、セキュリティ研究者のCypherは、リークされたデバイスのIPアドレスのリストを作成している(実際のGitHubにアップされたIPアドレスリストは、上記の記事サイトのリンクから)
今後、日本国内の企業、ベンダーも早急に対応をしていくかと思われますが、大企業・中小企業を問わず、サプライチェーンを通した侵入に注意する必要があります。
FORTINET公式はどう公表している?(9/13 AM11:20)
9月13日現在、FORTINET日本版サイトでは、漏えいの件に関して目立った発表はしていないものの、公式ブログの方では機械翻訳を掲載、対応策の概要を説明しています。
機械翻訳のため、直訳的部分もありますが、意訳も含め言い換えると、
- フォーティネットも事態を把握している
- 認証情報は、アクターがスキャンした時点で パッチを適用されていないシステムから取得されたものと見られる
- パスワードがリセットされていない場合は、デバイスは脆弱なままなので、パスワードの変更を
- 下記の対策を行ってとしている
- 以下の改善策が実施されるまで、すべてのVPN(SSL-VPNまたはIPSEC)を無効にする。
影響を受けたデバイスを、直ちに利用可能な最新のリリースにアップグレードする。 - すべての認証情報が侵害の可能性があるものとして扱い、組織全体でパスワードリセットを行う。
- 多要素認証を導入することで、現在および将来にわたって、漏洩した認証情報の悪用を防止する。
- パスワードリセットの理由をユーザーに通知し、HIBPのようなサービスをドメインごとに監視する。パスワードが他のアカウントで再利用されている場合、 クレデンシャルスタッフィング攻撃に使用される可能性がある。
特に多要素認証(2ファクタ認証)は、様々なところで必要性が叫ばれていますが、まだ導入していない場合は早急に導入を行う必要があります。
不正に取得したデータがなりすましメールに使われる可能性も大いに想定、また今回の案件とは関係ないが、システム障害の情報流出を起点に、BCPが脅かされる事態も想定
以前から、不正に取得した情報を用いて、企業になりすまし、具体的な内容のメールを企業に送りつけ、その中に不正なソフトウェアを組み込むなどで情報を詐取するというケースもあります。
記憶に新しいのは2021年8月に判明した、製粉大手ニップン(旧日本製粉)がサイバー攻撃を受けた案件。
ニップンが受けたサイバー攻撃とその後の概要は、piyokangoさんのブログにまとめられています。
より簡潔にまとめると、
- ニップンのサーバーに不正アクセスがあり、企業情報の一部が流出
- バックアップも含めて、大量のデータが暗号化され使えなくなる
- 第1四半期の決算報告を延期
と、業務継続の観点から致命的なダメージを受けています。
9月6日のニップンによる4半期決算のおたよりに関するIRでも、
当社は、安定的に食品を提供する社会的責任を果たすため、正常な操業を続けており、これまで通りの供給を維持しております。その一方で、システム復旧に向けた様々な対策を講じており、早期復旧に向けて全社一丸となって取り組んでおります。
と、現在もシステム復旧の途上にあることが書かれています。
加えて、システム障害に関する追加報告は8月16日以後まだ行われておらず、復旧などがどこまで進んでいるかは不明確です。
外部からの侵入が行われた原因も含め、まだ不明確な点も多いため、原因の追及が望まれます。
