VPN 機器の脆弱性に注意 ~最新版へのアップデートと認証強化を!~|BLOG| サイバートラスト
上より画像引用
こういうニュース見て、勘違いしている会社多いな、と思いました。
これだけ見ると、VPNという技術自体に問題ある。という印象を持つ人もいるかもしれません。
そして、こういう記事も。
私もこの記事と同意見。
イセトーかそこがつけていたIT企業かわかりませんが、知識がないからめちゃくちゃな結論に達していたのかな、と思っています。
VPNという技術自体には問題ないことがほとんどです。
破られたのは、VPNという技術ではなくて、管理を怠っていたVPN機器ですよ。
公表された情報からは原因ははっきり断定できないものの、その末端のVPNルーターか、社内セキュリティソフトのファームウェアかソフトのバージョンアップを怠っていたために問題が起きたのではないかなと思っています。管理不備。
エンジニアが多いはてなブログ。
コメントを見ていると、問題の本質を見破っている人多いですね。
思ったのは、セキュリティ対策に必死な会社が多いと思うけど、そのうちの8割はVPNルーターのファームウェアとかの管理、ここと同じようにきちんとしていないんじゃないかな。
イセトーのバッシングを煽っているわけではありません。叩くのは簡単だけど、他人事と思わず「人のふり見て我がふり直せ」という発想が重要じゃないかな
VPN機器の管理を怠って情報漏洩した組織他にもたくさんありますよね?
批判がイセトー一社に向かっていて、うちの会社も同じことやっているけど、運よくランサムウェアに狙われなくて助かった、とホッとしている会社多くありません?
VPN機器のぜい弱性の種類によっては、外部からの攻撃で悪意のあるプログラムを実行できるものもあります。
最近、ランサムウェアによる情報漏洩事件がたくさん起きていますが、ランサムウェアが組織内ネットワークに入り込む方法はいろいろあるので、全部とは言いませんが、その半分くらいはVPNルーターのファームウェアを最新にアップデートしていなかったという管理不備があるのかなーと思っています。
言い方を変えればきちんと管理していれば情報漏洩を半減できたと思います。
では、どうすれば防げたか?
本社等の拠点はきちんと管理できても、地方等の拠点の管理は厄介なのは理解できます。
かつて地方拠点が20くらいの組織のサポートをしていて全部に目が届かず泣き入りました。
メーカーのHPをこまめにチェックするというのに加えて、拠点間ネットワークは、安価なインターネットVPNを使わずに、この場合は法人用フレッツ網等を利用したIP-VPNを使うのがいいのではないかと思っています。
多少高くても、例えば3日サービスが止まった結果、損失額が***円と計算すると簡単に元が取れちゃいます。
個人情報漏洩とか大規模にすると損失どころか倒産することもありますからね。
ゼロトラストネットワークアクセスとかもあるけど、環境によっては課題が新たに浮かび上がるかもしれないから(試したことなく、理論を知っているだけだから、実際のところはよくわかりません。)、閉域網のフレッツ網等を使えば、直接インターネットにつながっていないので、大幅にリスクを下げることができます。
ゼロトラストネットワーク → EXEはローカルとしても、イントラネット内のデータとにデータセンターのデータ同時に両方にアクセスする変則パターンあるのかな…
IP-VPN使っているのにVPNルーター狙われちゃった場合は?
不審なアプリをイントラネット内クライアントが勝手にインストールしたり、外部ストレージから入ったり、怪しいメール/ページから入り込んだりしたんでしょうね。
それぞれ対策はありますが、長くなるのでここでは省略。
とりあえず、言えるのはどれだけすごいセキュリティ技術を部分的に使っていたとしても、その周りの管理がきちんとしていないとほとんど意味ないです。
玄関の鍵厳重にしているのに勝手口は窓ガラス破れば簡単に泥棒に入れるようなものです。
VPN個人用の話をすれば、長いから詳細には書きませんが、多くの無料VPNは罠で使うとかえって危険だから、きちんとしたものを使いましょうね、ということです。
気になる人はこの辺を
