ニュース 2020.12.17 警察庁のノートパソコン　昨年8月から一年間、不正アクセスを受けつづける

発表によれば、不正アクセスがあった期間は、2019年8月～2020年11月上旬にかけて合計46回。業務用の物品発注専用に使われていた端末でおこっていた。警察庁は、警視庁から25日に情報提供があるまで気づかなかったという。

端末からのインターネット接続は、VPN（仮想私設網）を介しており、VPNのパスワードが何者かによって突破された可能性が高いという。

VPN（仮想プライベートネットワーク）は、在宅勤務や外出時に、外部から企業のオフィスネットワークに接続する用途で使われる。在宅ワークを支える重要な技術だが、サイバー攻撃者の標的にもなっている。

2019年5月には、Fortinet社製VPN機器の脆弱性が発見されたが、未だにパッチをあてていない欠陥機器は世界で約5万台あり、ハッカーフォーラムのサイトに「悪用可能な機器一覧」として情報が公開されているという。このリストの1割にあたる5400台は、日本に関連するものだった。

2019年8月の情報流出事件でも、米VPN機器メーカーパルスセキュア社のVPN接続システムの脆弱性が狙われた。パルスセキュア社は世界シェア第1位のVPN機器メーカー。同社のVPN接続機器(VPNルーター)を購入し、社内に設置するだけで社員向けVPNを開始することができる手軽なもので、日本国内でも3000社もの企業が利用してた。

この機器の脆弱性は、2019年４月に発見され、すぐに修正プログラムがリリースされているが、発表から1年半経った今年8月時点でも、修正対応をしていない企業が残っている。

一般的にVPN装置のような専門機器は、ユーザーが直接パッチを適用するのではなく、Sierなどの業者に依頼することも多く、パッチ適用の費用が発生するケースもある。そのため、予算が確保されていないと、パッチ適用が後回しになることも少なくない。

しかし、日本企業を標的にした不正アクセス被害は急増していることから考えれば、対策費用の見直しを含めて再考するときにきており、現状では、売り上げに直接かかわる最優先事項として対応するべき問題だといえる。

【関連リンク】

・警察庁の端末に不正アクセス　1年超で46回、気づかず（日経新聞）
https://www.nikkei.com/article/DGXMZO66760230X21C20A1CC1000

・Fortinet 社製 FortiOS の SSL VPN 機能の脆弱性 (CVE-2018-13379) の影響を受けるホストに関する情報の公開について（JPCERT/CC）
https://www.jpcert.or.jp/newsflash/2020112701.html

TEXT：セキュリティ通信 編集部
PHOTO：iStock