ソフトイーサ、8月15日からSoftEther VPNなどにサイバー攻撃が発生中と注意喚起 27
ストーリー by nagazou
注意 部門より
注意 部門より
ソフトイーサは16日、同社のサービスに海外経由とみられるサイバー攻撃が多発していることから、影響を防ぐための設定の確認および新たなアップデート「Ver 4.37 Build 9758 Beta」の提供を開始した。サイバー攻撃は8月15日の8時40分頃から、海外のクラウドサービスのIPアドレスを発信源にして行われている模様。パスワードに使用されることの多い単語や人名を組み合わせてログインを行う総当たり攻撃と見られている(ソフトイーサリリース、ITmedia)。
リリースによれば、同社のSoftEther VPNとPacketiX VPNの利用者に当てたもので、IPsec 機能 (L2TP/IPsec、EtherIP/IPsec、もしくはL2TPv3/IPsec) を有効にしており、なおかつ事前共有鍵をデフォルト値のままにしている場合は注意が必要だとしている。アップデートとともに、8文字以上の事前共有鍵に変更するよう呼び掛けている。
リリースによれば、同社のSoftEther VPNとPacketiX VPNの利用者に当てたもので、IPsec 機能 (L2TP/IPsec、EtherIP/IPsec、もしくはL2TPv3/IPsec) を有効にしており、なおかつ事前共有鍵をデフォルト値のままにしている場合は注意が必要だとしている。アップデートとともに、8文字以上の事前共有鍵に変更するよう呼び掛けている。
ユーザIDとパスワード (スコア:2)
VPNのように個人の色を出したい需要がないシステムでは、もう「アクセスキー」みたいな新しい用語を作ってユーザIDとパスワードを繋げて一行にしてしまって、ついでにランダム生成して供給してしまってもいいような。ユーザ名があるシステムでも、多くの場合はログインのためだけのIDを任意に変更可能である必要性ってないですよね。
Re: (スコア:0)
今回の話ってPSK設定デフォルトなのが問題なだけだから。その指摘は的外れもいいとこ。
いわゆるそのアクセスキーが簡単すぎましたね。ってだけの話。
むしろ、IPSecのリモートアクセスの場合は、
基本的にPSK(本来は秘匿情報)を知っている+ID(公開情報)/パスワード(秘匿情報)を知っているの2段階になっていて、
そして、PSKは普通はランダム文字列を使うのでそこで一つ懸念は解消できるはずです。
固定した一つのものでランダムだと現実的にはコピペ運用になるから、その情報が記載されたファイルかすめ取られたら自由にアクセスされてむしろ危険。
最近のセキュリティトレンドに沿うならアクセス制御のためのユーザー識別のためにIDは絶対必要で、パスワード(PINでもいい)+ワンタイムキーの2FAってのが最適解だと思います。
Re: (スコア:0)
ん-べつに的を大きく外しているわけではないとおもうけどね。
今回は鍵情報が単純だとやぶえぇ~よ、とのことで認証とはちょっとちがうけど。
そもそもその鍵情報が解読もしくは奪取されたら即TheENDにならないようにするもの
悪くない案だと思うよ。
>最近のセキュリティトレンドに沿うならアクセス制御のためのユーザー識別のためにIDは絶対必要
今のトレンドはそうではなくなってます。
トレースをするための仕組みは必須です(絶対です。
ただ、そのやり方として個人を安易に特定させない仕組みも必要になってます。
Re: (スコア:0)
「個人を安易に特定させない仕組み」って言ってもランサムにやられたり標的型攻撃された時点で、(Credential的な)「誰」は攻撃側に取得されているケースが多いので、
やらないよりかはマシだけど、結局ID紐づけの中間層ができるだけで実効性は微妙というイメージ。実際どうなんでしょうね。
WireGuardかShadowSocks (スコア:1)
がセッションはりっぱなしではないのでおすすめ。
https://www.vpngate.net/en/ [vpngate.net] より速い。
まだ筑波使ってる奴いるのかなぁ (スコア:0)
昔はお世話になったけど、商業VPNが掃いて捨てる数だけある現在では…
Re: (スコア:0)
ライバルは商用VPNではなくシン・テレワークシステム [ipa.go.jp]では?
VPN需要の少なからずがRDPで解決する気がする。
Re: (スコア:0)
シン・テレワークシステムも内部にソフトイーサが組み込まれてるからライバルというか顧客ですよね。
リンク先のページでも明記されてるし。
Re: (スコア:0)
それはプライベートなSoftEther VPNじゃなくてパブリックなVPN Gateのことだよね。
商業VPNは基本データセンターの回線だからアクセス先からは一発でそれとわかる。
VPN Gateは家庭用回線のボランティアがいて規制の厳しい巨大掲示板でも通るから用途が違う。
その商業VPNで SoftEther の品質超えているのあるの? (スコア:0)
PacketiX VPN 4.0
https://www.softether.jp/1-product/11-vpn [softether.jp]
SoftEther の商業版のPacketiXは「9 年間で 5,500 社に採用された信頼の VPN 製品」だそうで、商業VPNと言ってもよいかと思いますが、それはさておき、
その有名メーカーが作ってる「商業VPN」で、品質や機能で SoftEther に勝っているのがどれだけあることやら。
特にNATトラバーサル機能の性能については、他にはない唯一無二かと思いますよ。
UDP ホールパンチング程度
Re: (スコア:0)
> 特にNATトラバーサル機能の性能については、他にはない唯一無二かと思いますよ。
最近tailscale使い出したけど、これもかなりいけてますよ。
何より簡単に使えるのがいい。
Re: (スコア:0)
技術的には秀逸に違いないにしても、ネットワーク管理者のポリシーを強制できない機能というのは、「優れている」と言えるかは考えものです。
「ダイナミックDNS」や「DMZ」、「ポートマッピング」の組み合わせまでは、いいと思いますけど。
まあ、客先のネットワークから会社のネットワークに接続したいって需要は分かる。客先のネットワーク管理者にいちいち届け出したくないって事情もわかる。うーん。利便性とセキュリティが両立できないなら、後者を優先するのが時代に合っていると思う。
Re: (スコア:0)
HTTPSプロキシ必須の環境では、HTTPSプロキシ経由でVPNに繋いだらいいんじゃないの?もちろんSoftEther VPNでもできるし、それ以外で対応している製品も多少はあるだろうし。
8文字以上の事前共有鍵に変更 (スコア:0)
デフォルト値のまま運用するやつなら
12345678とか
passwordとか
で対策完了すねよね
Re: (スコア:0)
そうそう、なんでプレスリリースで推奨を16文字以上・文字種混合とかにしなかったんだろう...
事前共有鍵なんて基本1回打ったら終わりなんだから、仕様の範囲内で長ければ長いほどいいはずなのに。
Re: (スコア:0)
実は8文字までで、以降切り捨てみたいなシステムと連携してるとか?
# 設定時に切り捨てされ、認証時は考慮されるので気づかないと詰むシステムに遭遇したAC
Re: (スコア:0)
Softetherのサーバー側をGUIで 10文字以上に設定しようとすると、
Androidの一部のバージョンのバグのため10文字以上だと接続できない場合があるので。9文字以下にすることを推奨する。
と出て、二の足を踏んでしまうしくみ。
Re: (スコア:0)
デフォルトの3桁って何だろう、「VPN」かなと思ったらほぼ当たりだった。
ポート番号を標準から変えるだけで安全性が向上 (スコア:0)
標的を特定せず片っ端から試行するタイプの攻撃は、ポート番号を標準から変えるだけで、
攻撃されるリスクを大きく減らすことが可能
SoftEtherも同様
Re:ポート番号を標準から変えるだけで安全性が向上 (スコア:1)
SSHも、標準の22番ポートにしてたら、朝から晩まで24時間スキャンが来るが、
5桁で、だれも使ってなさそうなポート番号にしとけば、全然スキャンがこない
Re: (スコア:0)
といっても、たとえばiOSのVPNクライアントはUDP/4500とかUDP/500とかのポートを変更できないんすわ。
Re:ポート番号を標準から変えるだけで安全性が向上 (スコア:1)
クライアントの問題ではなく、IPsecというプロトコル自体がポート番号固定ですね。
指摘 (スコア:0)
> パスワードに使用されることの多い単語や人名を組み合わせてログインを行う総当たり攻撃と見られている
「総当たり攻撃」じゃなくて「辞書攻撃」ですね。
リンクされているソフトイーサのリリースも、ITメディアの記事もそうなっています。
# ほぼ2日放置されるあたり、相変わらず、すらどのソフトイーサ関連スレはレベル低いね
Re: (スコア:0)
5chでやれ。
Re: (スコア:0)
なんで日本のVPSがチャート詐欺と動画広告費詐取に利用されているのか、
まとめて訴えられたときに筑波大はどうすんの
サービス存続にも関わることだぞ
Re: (スコア:0)
そんな証拠もないちっぽけなことより犯罪利用された時のこと考えろよ