必ずしも万全ではないVPNのセキュリティー
テレワークが普及し、多くの企業が頼りにしていたのが社外から社内ネットワークにアクセスできるようにするVPNだが、そのセキュリティーは万全ではないというのも驚きだ。
国内のセキュリティー組織であるJPCERT/CCは、米フォーティネット、米パルスセキュア、米パロアルトネットワークスのVPN製品に、危険な脆弱性が見つかったと注意を呼び掛けた。
脆弱性を悪用されるとコンピュータウイルスなどを遠隔から実行されたり、任意のファイルを読み取られたり、認証情報を取得されたりする恐れがある。
いずれの製品も脆弱性を修正するプログラム(パッチ)は公開されているが、まだ対応していないユーザーも多い。
とくに狙われているのが、パルスセキュア製で未対応のVPNサーバーは国内に1511台あったという。その後対応が進んだが、まだ危険なVPNサーバーは298件残っているという。悪用されたデータベースファイルの窃取やランサムウェアの感染がJPCERT/CCに報告されている。