パスワードを忘れた? アカウント作成
14277206 story
暗号

国内企業38社のVPNパスワードがダークウェブ上で出回る 33

ストーリー by nagazou
早急に対策を 部門より
日経新聞の記事によれば、国内の38社が不正アクセスを受け、テレワークで使用されていたVPN接続用のパスワードなど流出した可能性があるそうだ。今回VPNの情報が流出した企業は、米パルスセキュアのVPNサービスを使っていたという(日経新聞)。

内閣サイバーセキュリティセンター(NISC)によると、8月中旬ごろにダークウェブで、900者を超える世界中の企業のVPN情報がやり取りされているのが判明したとしている。NISCがこのデータを調査したところ、日本企業38社が含まれていることが分かった模様。

先の記事によれば販売リストには、日立化成や住友林業、ゼンショーホールディングス、オンキヨー、全薬工業、岩谷産業、ダイヘン、自動車総連などの名前があったとしている。今後、この38社を踏み台にして取引先などへの不正アクセスが行われる可能性があると指摘されている。
  • by Anonymous Coward on 2020年08月25日 15時52分 (#3876336)

    複数の SSL VPN 製品の脆弱性に関する注意喚起 [jpcert.or.jp]
    この注意喚起が2019/9/2に発効され、
    Pulse Connect Secure の脆弱性を狙った攻撃事案 [jpcert.or.jp]
    と3/26に改めて記事にされてますね。
    これで取得された情報ってことでしょうか。

    ここに返信
  • by Anonymous Coward on 2020年08月25日 16時31分 (#3876366)

    恐怖に駆られてリモートにしたけど、
    そもそも、なんでリモートに及び腰だったのか、みんな忘れている。

    恐怖で人を動かすのは本当に簡単だ。

    ここに返信
  • by Anonymous Coward on 2020年08月25日 15時48分 (#3876333)

    今すぐ全社VPNパスワードを変更しろって気がしますけどねぇ。
    ※他山の石

    ここに返信
    • by Anonymous Coward on 2020年08月26日 0時04分 (#3876639)

      今すぐ全社VPNパスワードを変更しろって気がしますけどねぇ。

      偉い人< 今すぐ変更してパスワードを全社員にメールしろ!LINEでも構わん!

      # こうなるのがオチかと

      • by Anonymous Coward

        この状況下でVPN自体を入れ替えるのなんて難しいし
        とりあえずパスワード変えて個別に通知って対策は
        及第点では?

        # むしろ
        # 偉い人 VPNなんか禁止にして出勤しろ!
        # じゃないかと

    • by Anonymous Coward

      各社担当者さんのPCが無事だといいですね [mobile.srad.jp]。

    • by Anonymous Coward

      うちはたまたまネットワーク構成の変更を行ったので、
      VPNパスワードも変更になりました。

  • by Anonymous Coward on 2020年08月25日 16時02分 (#3876342)

    VPN欠陥つくサイバー攻撃 国内外900社の情報流出 [asahi.com]」

    被害に遭った企業などは、米パルス・セキュア社のVPN機器を利用していたとみられる。同社は昨年春、製品に外部からのサイバー攻撃で情報が流出するおそれがある欠陥が見つかったとして、修正プログラムを公開。更新するよう求めていた。今回流出が確認されたのは、更新前の装置から盗まれた情報とみられる。

    ググると、Pulse Secure [pulsesecure.net]を扱う代理店は非常に多いから、今頃真っ青のネットワーク担当も少なからずいるはず。

    ここに返信
  • by Anonymous Coward on 2020年08月25日 16時08分 (#3876350)

    もともと去年8月25日の時点でCVE-2019-11510で問題になりそうなIPアドレスは14528件あって、
    アメリカが5010件、日本は1511件

    Hosts vulnerable to CVE-2019-11510 per country – Scan date: 2019-08-25
    https://docs.google.com/spreadsheets/d/1S7qh42y-RYmmVmeoqbTU7VgbISB0ig... [google.com]
    世界地図付き

    Hacker leaks passwords for 900+ enterprise VPN servers
    https://www.zdnet.com/article/hacker-leaks-passwords-for-900-enterpris... [zdnet.com]
    これで8月はじめにパスワードハッシュのソート方法、SSH鍵や管理者アカウントやVPNセッションなどが投稿されたのは900件ほど

    https://zdnet1.cbsistatic.com/hub/i/2020/08/04/f2f44a75-abd2-4a69-9f83... [cbsistatic.com]

    ttps://dropmefiles.com/cttVO
    この掲示板でモザイクになってるURLはこれだけど削除済み

    ここに返信
  • by Anonymous Coward on 2020年08月25日 16時18分 (#3876354)

    この図の意味がよくわかりませんが、わかる人いますか?

    それにしても、パルスセキュアVPNアプライアンスの価格をぐぐったけど、高価ですね。

    ここに返信
    • by Anonymous Coward

      社内システムに侵入して、EXCELかなんかで管理してる社員に配るVPN接続用のアカウント一覧(一部or全部)を盗み出したってことでは。

    • by Anonymous Coward

      >不正アクセスを受け、テレワークで使用されていたVPN接続用のパスワードなど流出した
      なので、
      ・(脆弱性を使って?)VPN機器から暗証番号を取得
      ・暗証番号を使ってVPN接続し、内部に侵入
      ではないかと。

    • by Anonymous Coward

      パルスセキュア、、、もともとはNetScreen社を買収したJuniper社が手掛けた
      ファイアウォール製品の一部であったVPN部門を買い取った所ですからね。

      顧客は結構いるはず

      #達者でなニパ子

  • by Anonymous Coward on 2020年08月25日 16時25分 (#3876362)

    ログインが面倒になるのは分かるけど侵入されたら困るものは二要素認証設定しておくのが基本でしょうに

    #たいした機密情報ないし困らないか

    ここに返信
    • by Anonymous Coward on 2020年08月25日 16時56分 (#3876389)

      セキュリティの基本は守られないのが基本でしょうに

    • by Anonymous Coward

      そもそも今回の件は1年近く前に公開された脆弱性なのですから、
      さっさとメーカーが提供するパッチを適用していれば終わりだったと思われます。

      あとは漏洩していたことを見越してパスワードの変更を強制しておくか、
      パスワード以外の認証(証明書認証とか)を使っても良かったかと。

    • by Anonymous Coward

      二要素認証設定しておくのが基本でしょうに

      PPTPでもない限り2要素っちゃ2要素なんですけれどね
      事前共有キーなり物理キーなり使っている前提じゃないですかね

      # パススルーできない環境下も考えてover ssh玄関も用意するまでがテンプレ

  • by Anonymous Coward on 2020年08月25日 16時50分 (#3876387)

    アクセス可能な権限が
    644が当たりまえ
    EVRYONE読み取り可が当たりまえ

    それでセキュアなアクセス制限してますってことなら
    セキュリティ管理者更迭したほうがいいかと

    ちゃんと制御されたネットワーク下なら
    VPNで繋がれようがLANケーブルさされようが
    一切のファイルにアクセスできないもんです

    玄関以外に鍵はなしが標準の組織は
    是正勧告位したほうがいいんじゃないかな
    自社情報しか存在しない組織なんてないんだから

    ここに返信
    • by Anonymous Coward

      > 一切のファイルにアクセスできない
      どうやって仕事するの?

      • by Anonymous Coward

        VPNパスワード流出、単に「社内NWに接続」されただけ。
        もともと「社内にも悪意あるユーザがいるかも?」を前提としたシステムなら、大したデータにアクセスできず被害は最小限になる。
        (社内向けに開放されているサーバでもパッチちゃんと当てて、管理者パスワードを厳密に管理しているとか)

        • by Anonymous Coward

          これの究極系が最近流行りのゼロトラストですね。
          社内ネットワークだろうが誰も信頼せずにアクセス権を検証するので、社内ネットワークと社外ネットワークを区別する必要がなく、VPNもいらない。

        • by Anonymous Coward

          大したデータにアクセスできず被害は最小限になる。

          この発想は最低。
          VPN内への侵入をセーフと言うなら、最小限ではなく「データにアクセスできず被害は発生しない。」と主張する事を前提とするべき。

          「最小限」の非公開情報を閲覧されて「だけ」などと述べる人はだいぶ怪しい。

    • by Anonymous Coward

      アホか、ちゃんと755にしとるわ、たわけ!

    • by Anonymous Coward

      そんなこと言ってるとgetfacl見るの忘れちゃうぞ。

  • by Anonymous Coward on 2020年08月25日 17時36分 (#3876420)

    旧JuniperのSSL-VPNって企業向けでは一番導入されているから、そりゃあね。
    そして、日本じゃ無駄に24時間365日アクセス可能(でもシングル運用)を合言葉にしているからバージョンフリーズしてるだろうし。

    ここに返信
typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...