米国土安全保障省が企業用VPNアプリケーションのセキュリティの欠陥を警告

米国の国土安全保障省のサイバーセキュリティ部門が発行した警告によると、企業用のVPN(Virtual Private Networking、仮想非公開通信網)アプリケーションの一部には、セキュリティ関連のバグにより、遠方からアクセスした犯人が会社の内部的ネットワークに侵入できるものがある。

カーネギーメロン大学の脆弱性開示センターCERT/CCの一般公開開示を受けて米国時間4月12日には、国のCybersecurity and Infrastructure Security Agencyが警告を発行した

Cisco、Palo Alto Networks、Pulse Secure、およびF5 Networks、計4社の作ったVPNアプリケーションは認証トークンとセッションクッキーをユーザーのコンピューターに不正に保存する。これらは消費者ユーザーがプライバシーを護るために従来から利用してきた消費者向けVPNアプリケーションではなく、遠方の社員らが会社のネットワーク上のリソースにアクセスできるために、通常は企業のITスタッフが設置する企業向けVPNアプリケーションだ。

これらのアプリケーションはユーザーのパスワードからトークンを作り出し、ユーザーのコンピューターに保存してユーザーをログイン状態に保ち、彼らが毎回パスワードを入力しなくてもよいようにする。しかしそのトークンが盗まれると、ユーザーのアカウントにパスワード不要でアクセスできるようになる。

マルウェアなどを利用してユーザーのコンピューターにアクセスした犯人は、トークンを盗み、それらを使って、そのユーザーと同じ授権レベルで企業のネットワークにアクセスできる。つまり会社のアプリケーションやシステム、データ等にアクセスできる。

今のところ、Palo Alto Networksのみが、同社のGlobalProtectアプリケーションが脆弱であることを確認している。同社は、WindowsとMacの両クライアント向けにパッチを発行した

CiscoとPulse Secureはアプリケーションをパッチしていない。F5 Networksは、トークンの不正な保存を少なくとも2013年から知っていたが、パッチをリリースする代わりに、二要素認証の利用をユーザーに勧めているそうだ。

CERTの警告によると、同様の欠陥はそのほかの数百ものアプリケーションにある、とされるが、それらを確認するテストはこれからの課題だ。

関連記事: サイバーセキュリティ強化のためにチェックすべきトップ5

画像クレジット: TechCrunch

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。