テレワーク Pulse Secure社製VPN機器の脆弱性対策を怠り認証情報流出か
~2020年8月の気になるセキュリティニュース~ セキュリティニュース

2020年9月7日

セキュリティニュース一覧

8月のトピックスを紹介します。

8月下旬、Pulse Secure(パルスセキュア)のVPN機器から、テレワークに欠かせない社外接続の認証情報などが流出したと報じられました。
国内企業数十社が不正アクセスを受け、事態を重く見た内閣サイバーセキュリティセンター(NISC)も調査に乗り出しています。
新型コロナウイルスの感染拡大を受けてテレワークの動きが広がる一方、企業の安全対策が急務となっています。企業には、利用するVPN機器などの脆弱性情報の収集や、設定の見直しなどの迅速な対応が求められています。

・テレワーク Pulse Secure製VPN機器の脆弱性対策を怠り暗証番号流出か
米Pulse Secure社のVPN機器(Pulse Connect Secure)を使用する複数の国内大手企業が不正アクセスを受け、テレワークに利用されるVPNの認証情報などが流出したと報じられました[1]。 同社ではこの機器について2019年4月に脆弱性を公表、修正プログラムも公開しており、JPCERT/CCからも注意喚起が公開されていました[2][3]。情報が流出した企業では、この修正プログラムを反映していなかったとみられています。
脆弱なVPN機器は、組織への侵入経路として標的型攻撃やランサムウェア感染などで悪用されるおそれがあります。今後のNISCの調査結果が待たれますが、第三者が機密情報を抜き取ったりウイルスをばらまいたりするなどの被害の拡大も予想されるため、企業にはこの件を他山の石とする対策が急務と考えられます。

8月の主なマルウェア・不正アクセス関連の記事を紹介します。

・在宅勤務時にマルウェア感染 従業員情報が流出
三菱重工業は、従業員がテレワークで利用した社有PCがマルウェアに感染し、情報流出が発生したことを発表しました[4]。マルウェアに感染したPCから読み取られたパスワードを社内で使い回していたことから、感染が広がったとされています[5]。
テレワークを実施する企業では、このケースと同様に社有PCがオフィス外でウイルスに感染し、社内に持ち込まれる可能性があります。パスワードの使い回しがないか等の基本的なセキュリティ対策について改めて確認することで、被害の拡大を抑止することができると考えます。

・事業継続を脅かす新たなランサムウェア攻撃に関する注意喚起
IPAは、「人手によるランサムウェア攻撃」と「二重の脅迫」により事業継続を脅かす新たなランサムウェア攻撃についての注意喚起とレポートを公開しました。これまでは海外での被害が多く確認されていましたが、一部、国内でも被害が報告されています。ITシステムにより事業が成り立つあらゆる組織が標的となり得るため、同機構では対策を検討するよう注意を呼びかけています[6]。

・標的型メール攻撃で感染 「Konni」に警戒呼びかけ - 米政府
米政府は、リモートアクセスツール(RAT)「Konni」について、同マルウェアに感染させる標的型攻撃メールが確認されているとして、注意を呼びかけました[7]。 同マルウェアに感染すると任意のコードを実行されたり、端末内部の内容やキー入力の内容などを外部に送信されるなど、情報漏えいにつながるおそれがあるとしています。

・米セキュリティ機関SANS Institute、フィッシング詐欺メールで個人情報流出
米国のセキュリティ研究教育機関のSANS Instituteは、フィッシング詐欺メールにより従業員のメールアカウントが不正アクセスを受け、約2万8000件の個人情報が外部に流出したと発表しました[8]。従業員が同メールから偽のMicrosoft365(Office365)アプリをインストールしたことにより、悪質なアドインが仕込まれ、特定のキーワードを含んだメールが外部に転送されたとしています。

8月の主要なOS、ミドルウェアにおけるインシデントを紹介します。

該当する製品を利用されている場合は、システムへの影響などに鑑み、対策などを速やかに実施することが推奨されています。

・Apache Struts 2 の脆弱性 (S2-059、S2-060) に関する注意喚起
JPCERT/CCは、Apache Struts 2の脆弱性 (S2-059、S2-060)に関する注意喚起を公開しました[9]。本脆弱性が悪用されると、Apache Struts 2が動作するサーバーにおいて、遠隔の第三者により任意のコードが実行されたり、サービス運用妨害(DoS)が引き起こされる可能性があるとしています。

・ISC BIND 9における複数の脆弱性(CVE-2020-8620、CVE-2020-8621、CVE-2020-8622、CVE-2020-8623)に関する注意喚起
JPCERT/CCは、BIND 9の複数の脆弱性(CVE-2020-8620、CVE-2020-8621、CVE-2020-8622、CVE-2020-8623)に関する注意喚起を公開しました[10]。バージョンによって影響を受ける脆弱性は異なりますが、本脆弱性が悪用されると遠隔の第三者によりサービス運用妨害 (DoS)などが引き起こされる可能性があるとしています。

編集後記

今月はテレワークに関連したセキュリティニュースを2件紹介いたしました。 新型コロナウイルスの感染拡大を受けて急遽テレワーク環境を整備したため、十分なセキュリティ対策を検討できていない、セキュリティ面に不安を抱える企業は60%以上という調査結果もあり、企業の安全対策が急務となっています。
当社で提供するテレワークセキュリティ診断サービスでは、お客様のテレワーク環境のリスク調査を実施しております。詳細は以下カタログをご参照ください。

カタログダウンロード

出典

最後に

本記事は、2020年8月に報道されたセキュリティニュースを基に、特に注目するセキュリティ情報を掲載しています。
注目するセキュリティニュースをまとめて掲載することで、読者の皆さまがよりセキュリティに興味を持ち、日々の対策にご活用いただくきっかけとなれば幸いです。

京セラコミュニケーションシステム株式会社
セキュリティニュースチーム

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ