NISC(内閣サイバーセキュリティセンター)の調査によると世界900社超のVPN情報が犯罪サイト上で取引され、そのうち38社は日本の企業だそうです。
米パルスセキュア社のVPNサービスを使用していた企業が不正アクセスを受け、情報流出に至ったようです。
パルスセキュア社のVPNサービスは1年以上前に脆弱性が公表されていました。
その後、修正プログラムも公開していましたが、修正プログラムを適用するとうまく通信がいかなくなることもあり、修正プログラムを適用しないまま利用を続けていたケースもあったと思われます。
VPNの通信自体は一応セキュアなものですが、認証情報(ID、パスワードなど)が流出してしまうと、だれでもその会社の社内ネットワークに侵入し、情報資産を盗まれることになります。
脆弱性が公表されるとハッカーは、脆弱性の対策がなされていない企業を標的に攻撃を仕掛けます。
こういったハッカーからの攻撃を防ぐには、
脆弱性が公表されたら、できるだけ早く修正プログラムを適用することが必要になります。
これはVPNに限らず、どのソフトウェア・WindowsなどのOSでも同じことです。
ただし、修正プログラムを適用することには慎重さも必要です。
修正プログラムを適用することにより、他のシステムがうまく稼働しなくなるということは普通に起こりえます。
そこで、脆弱性が公表された場合は、一旦そのソフトウェアの利用を停止するべきです。
できれば代替サービスを事前に用意しておき、すぐに切り替えられるようにしておくことが望ましいです。
停止したソフトウェアについては、社内のシステム管理者が一部のPCやサーバーのみに対して修正プログラムを適用し、まず稼働テストをします。
問題がなければ、全社的に修正プログラムを適用します。
問題がある場合には、修正プログラムの適用は見合わせ、代替手段に切り替えることになります。
以上は事後処置という観点での対応ですが、もちろん予防も重要です。
ID、パスワードだけの認証では、やはり手薄ですので、二要素認証(電子証明書、指紋認証など他の手段も組み合わせて利用者を認証する)の採用も検討したいです。
