パスワードを忘れた? アカウント作成
15383090 story
アナウンス

ソフトイーサ、8月15日からSoftEther VPNなどにサイバー攻撃が発生中と注意喚起 27

ストーリー by nagazou
注意 部門より
ソフトイーサは16日、同社のサービスに海外経由とみられるサイバー攻撃が多発していることから、影響を防ぐための設定の確認および新たなアップデート「Ver 4.37 Build 9758 Beta」の提供を開始した。サイバー攻撃は8月15日の8時40分頃から、海外のクラウドサービスのIPアドレスを発信源にして行われている模様。パスワードに使用されることの多い単語や人名を組み合わせてログインを行う総当たり攻撃と見られている(ソフトイーサリリースITmedia)。

リリースによれば、同社のSoftEther VPNとPacketiX VPNの利用者に当てたもので、IPsec 機能 (L2TP/IPsec、EtherIP/IPsec、もしくはL2TPv3/IPsec) を有効にしており、なおかつ事前共有鍵をデフォルト値のままにしている場合は注意が必要だとしている。アップデートとともに、8文字以上の事前共有鍵に変更するよう呼び掛けている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by 90 (35300) on 2021年08月17日 14時23分 (#4092601) 日記

    VPNのように個人の色を出したい需要がないシステムでは、もう「アクセスキー」みたいな新しい用語を作ってユーザIDとパスワードを繋げて一行にしてしまって、ついでにランダム生成して供給してしまってもいいような。ユーザ名があるシステムでも、多くの場合はログインのためだけのIDを任意に変更可能である必要性ってないですよね。

    • by Anonymous Coward

      今回の話ってPSK設定デフォルトなのが問題なだけだから。その指摘は的外れもいいとこ。
      いわゆるそのアクセスキーが簡単すぎましたね。ってだけの話。

      むしろ、IPSecのリモートアクセスの場合は、
      基本的にPSK(本来は秘匿情報)を知っている+ID(公開情報)/パスワード(秘匿情報)を知っているの2段階になっていて、
      そして、PSKは普通はランダム文字列を使うのでそこで一つ懸念は解消できるはずです。
      固定した一つのものでランダムだと現実的にはコピペ運用になるから、その情報が記載されたファイルかすめ取られたら自由にアクセスされてむしろ危険。

      最近のセキュリティトレンドに沿うならアクセス制御のためのユーザー識別のためにIDは絶対必要で、パスワード(PINでもいい)+ワンタイムキーの2FAってのが最適解だと思います。

      • by Anonymous Coward

        ん-べつに的を大きく外しているわけではないとおもうけどね。

        今回は鍵情報が単純だとやぶえぇ~よ、とのことで認証とはちょっとちがうけど。
        そもそもその鍵情報が解読もしくは奪取されたら即TheENDにならないようにするもの
        悪くない案だと思うよ。

        >最近のセキュリティトレンドに沿うならアクセス制御のためのユーザー識別のためにIDは絶対必要
        今のトレンドはそうではなくなってます。
        トレースをするための仕組みは必須です(絶対です。
        ただ、そのやり方として個人を安易に特定させない仕組みも必要になってます。

        • by Anonymous Coward

          「個人を安易に特定させない仕組み」って言ってもランサムにやられたり標的型攻撃された時点で、(Credential的な)「誰」は攻撃側に取得されているケースが多いので、
          やらないよりかはマシだけど、結局ID紐づけの中間層ができるだけで実効性は微妙というイメージ。実際どうなんでしょうね。

  • by Anonymous Coward on 2021年08月17日 22時00分 (#4093031)

    がセッションはりっぱなしではないのでおすすめ。

    https://www.vpngate.net/en/ [vpngate.net] より速い。

  • by Anonymous Coward on 2021年08月17日 14時43分 (#4092619)

    昔はお世話になったけど、商業VPNが掃いて捨てる数だけある現在では…

    • by Anonymous Coward

      ライバルは商用VPNではなくシン・テレワークシステム [ipa.go.jp]では?
      VPN需要の少なからずがRDPで解決する気がする。

      • by Anonymous Coward

        シン・テレワークシステムも内部にソフトイーサが組み込まれてるからライバルというか顧客ですよね。
        リンク先のページでも明記されてるし。

    • by Anonymous Coward

      それはプライベートなSoftEther VPNじゃなくてパブリックなVPN Gateのことだよね。
      商業VPNは基本データセンターの回線だからアクセス先からは一発でそれとわかる。
      VPN Gateは家庭用回線のボランティアがいて規制の厳しい巨大掲示板でも通るから用途が違う。

    • PacketiX VPN 4.0
      https://www.softether.jp/1-product/11-vpn [softether.jp]

      SoftEther の商業版のPacketiXは「9 年間で 5,500 社に採用された信頼の VPN 製品」だそうで、商業VPNと言ってもよいかと思いますが、それはさておき、
      その有名メーカーが作ってる「商業VPN」で、品質や機能で SoftEther に勝っているのがどれだけあることやら。

      特にNATトラバーサル機能の性能については、他にはない唯一無二かと思いますよ。
      UDP ホールパンチング程度

      • by Anonymous Coward

        > 特にNATトラバーサル機能の性能については、他にはない唯一無二かと思いますよ。

        最近tailscale使い出したけど、これもかなりいけてますよ。
        何より簡単に使えるのがいい。

      • by Anonymous Coward

        技術的には秀逸に違いないにしても、ネットワーク管理者のポリシーを強制できない機能というのは、「優れている」と言えるかは考えものです。
        「ダイナミックDNS」や「DMZ」、「ポートマッピング」の組み合わせまでは、いいと思いますけど。

        まあ、客先のネットワークから会社のネットワークに接続したいって需要は分かる。客先のネットワーク管理者にいちいち届け出したくないって事情もわかる。うーん。利便性とセキュリティが両立できないなら、後者を優先するのが時代に合っていると思う。

      • by Anonymous Coward

        HTTPSプロキシ必須の環境では、HTTPSプロキシ経由でVPNに繋いだらいいんじゃないの?もちろんSoftEther VPNでもできるし、それ以外で対応している製品も多少はあるだろうし。

  • by Anonymous Coward on 2021年08月17日 15時20分 (#4092651)

    デフォルト値のまま運用するやつなら
    12345678とか
    passwordとか
    で対策完了すねよね

    • by Anonymous Coward

      そうそう、なんでプレスリリースで推奨を16文字以上・文字種混合とかにしなかったんだろう...
      事前共有鍵なんて基本1回打ったら終わりなんだから、仕様の範囲内で長ければ長いほどいいはずなのに。

      • by Anonymous Coward

        実は8文字までで、以降切り捨てみたいなシステムと連携してるとか?
        # 設定時に切り捨てされ、認証時は考慮されるので気づかないと詰むシステムに遭遇したAC

        • by Anonymous Coward

          Softetherのサーバー側をGUIで 10文字以上に設定しようとすると、
           Androidの一部のバージョンのバグのため10文字以上だと接続できない場合があるので。9文字以下にすることを推奨する。
          と出て、二の足を踏んでしまうしくみ。

    • by Anonymous Coward

      デフォルトの3桁って何だろう、「VPN」かなと思ったらほぼ当たりだった。

  • by Anonymous Coward on 2021年08月17日 20時27分 (#4092951)

    標的を特定せず片っ端から試行するタイプの攻撃は、ポート番号を標準から変えるだけで、
    攻撃されるリスクを大きく減らすことが可能

    SoftEtherも同様

  • by Anonymous Coward on 2021年08月19日 6時27分 (#4094112)

    > パスワードに使用されることの多い単語や人名を組み合わせてログインを行う総当たり攻撃と見られている

        「総当たり攻撃」じゃなくて「辞書攻撃」ですね。
    リンクされているソフトイーサのリリースも、ITメディアの記事もそうなっています。

    # ほぼ2日放置されるあたり、相変わらず、すらどのソフトイーサ関連スレはレベル低いね

typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...