米国の国土安全保障省のサイバーセキュリティ部門が発行した警告によると、企業用のVPN(Virtual Private Networking、仮想非公開通信網)アプリケーションの一部には、セキュリティ関連のバグにより、遠方からアクセスした犯人が会社の内部的ネットワークに侵入できるものがある。
カーネギーメロン大学の脆弱性開示センターCERT/CCの一般公開開示を受けて米国時間4月12日には、国のCybersecurity and Infrastructure Security Agencyが警告を発行した。
Cisco、Palo Alto Networks、Pulse Secure、およびF5 Networks、計4社の作ったVPNアプリケーションは認証トークンとセッションクッキーをユーザーのコンピューターに不正に保存する。これらは消費者ユーザーがプライバシーを護るために従来から利用してきた消費者向けVPNアプリケーションではなく、遠方の社員らが会社のネットワーク上のリソースにアクセスできるために、通常は企業のITスタッフが設置する企業向けVPNアプリケーションだ。
これらのアプリケーションはユーザーのパスワードからトークンを作り出し、ユーザーのコンピューターに保存してユーザーをログイン状態に保ち、彼らが毎回パスワードを入力しなくてもよいようにする。しかしそのトークンが盗まれると、ユーザーのアカウントにパスワード不要でアクセスできるようになる。
マルウェアなどを利用してユーザーのコンピューターにアクセスした犯人は、トークンを盗み、それらを使って、そのユーザーと同じ授権レベルで企業のネットワークにアクセスできる。つまり会社のアプリケーションやシステム、データ等にアクセスできる。
今のところ、Palo Alto Networksのみが、同社のGlobalProtectアプリケーションが脆弱であることを確認している。同社は、WindowsとMacの両クライアント向けにパッチを発行した。
CiscoとPulse Secureはアプリケーションをパッチしていない。F5 Networksは、トークンの不正な保存を少なくとも2013年から知っていたが、パッチをリリースする代わりに、二要素認証の利用をユーザーに勧めているそうだ。
CERTの警告によると、同様の欠陥はそのほかの数百ものアプリケーションにある、とされるが、それらを確認するテストはこれからの課題だ。
関連記事: サイバーセキュリティ強化のためにチェックすべきトップ5
画像クレジット: TechCrunch
[原文へ]
(翻訳:iwatani、a.k.a. hiwa)
