パスワードを忘れた? アカウント作成
16705757 story
クラウド

名古屋港のシステム停止、VPNの脆弱性を突かれたか 45

ストーリー by nagazou
VPNリスク 部門より
名古屋港運協会は26日、7月4日に発生したNUTS(名古屋港統一ターミナルシステム)がランサムウエア被害を受けた件に関する調査報告を発表した。障害の要因に関してはランサムウェアへの感染と確定している。現段階で判明している状況としては、リモート接続機器の脆弱性が確認されており、そこから不正なアクセスを受けたと考えられているという。これにより、データセンター内にある NUTS の全サーバーが暗号化された。脅迫文に身代金額の記載はなかったとされる。外部への情報漏洩の形跡は確認されていない(名古屋港運協会リリース[PDF]日経クロステック)。

読売新聞の記事によると、ウイルスはVPNを経由して送り込まれた可能性が高いことがわかったという。システムに使われていたVPNは、不正アクセスに対する脆弱性が指摘されていたが、対策はされていなかった。被害にあった名古屋港運協会のシステムは、米フォーティネット社製のVPN機器「フォーティゲート」を使用していたとされる。フォーティネットは6月、この機器に新たな脆弱性が発見されたことを公表し、修正プログラムを提供していたが、名古屋港運協会は今年4月以降は修正プログラム適用をおこなっていなかったという(読売新聞)。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2023年07月28日 14時08分 (#4502176)

    禁止

    • by Anonymous Coward

      ??

      • by Anonymous Coward

        ふぉー てぃー げと
        想定外

        とかそんなオヤジギャグでも思い浮かんだんじゃね?

  • by Anonymous Coward on 2023年07月28日 14時25分 (#4502182)

    脆弱性のあるVPNサーバー経由でランサムウェアを送り込むなんて定番の手口 [zscaler.jp]なわけだけど、名古屋港の協会が契約していたシステム保守会社って、何の「保守」をしていたのかな? VPNは「システム」の一部じゃない? よくわからん。

    • by Anonymous Coward on 2023年07月28日 15時13分 (#4502223)

      定番つっても本来VPNに不正アクセスされてLANに侵入されても、手口にあるように何重にもセキュリティを突破する必要があり、
      直ちにランサムウェアに感染とはならんはすなのに、どうしてこう揃いも揃って被害にあってしまうのか。
      VPN機器のメンテしてないなら、LAN内の機器はOSアップデートしてなくしてもおかしくなくて、脆弱性を突かれて何もかもすっ飛ばして感染なのかもだが。
      VPNと鯖のどちらもやられたときに表面化してるだけで、VPNの不正アクセスはとんでもない規模で起こってたりするのかな。

      VPNに関係なくNATの内側にあるBOT化したユーザ端末を踏み台にしてやられるケースも起こっていい気がするが、手口の流行もあるのかねぇ。

      親コメント
      • by Anonymous Coward

        VPNに関係なくNATの内側にあるBOT化したユーザ端末を踏み台にしてやられるケースも起こっていい気がするが、手口の流行もあるのかねぇ。

        もしかして、、、VPN:Virus Pandemic Network、、、

        # お役所的な対応するところは未だにPPTPとかって可能性も、、、

      • by Anonymous Coward
        >何重にもセキュリティを突破
        VPNの既知の(しかもここまで有名な)脆弱性を放置してるような組織は
        正直LANの中は丸裸でしょ
        機器更新するお金がないとかで7や最悪XPが現役だったり、Win10にはなっててもスキャンで重くなるのが嫌とかでわざわざDefender止めたりとか
        • by Anonymous Coward

          LANのセグメントを広げてほしい、と言われたけど連続したセグメントは確保できなかったので、ブロードキャストを利用するようなサーバーソフトウェアって使われてますか?と確認して無いよ、と回答をもらったけどあった経験。構成図ありますか?と確認しても無いよと、回答をもらって、そっちはほんとに無かった。
          21世紀やぞ!!!

      • by Anonymous Coward

        気づいてないだけで既に起きているんじゃね。
        ランサムウェアだから気づかれるけど、静かに潜り込まれてたら気づけないでしょう。
        VPN経由でなくとも標的型攻撃でやられているとかかなりあるでしょう。

      • by Anonymous Coward

        マジレスすると。
        VPNのファームアップを行わない業者が、VPNだけファームアップしてないと思う?
        多分接続されてる機器・ソフト全部ひっくるめてアップデートしてないよ。

    • by Anonymous Coward

      日本の「保守」は実は中道だから仕方ない

    • by Anonymous Coward

      パッチ当てたら動かなくなるかもって当てようとしないからな。
      古いシステムがいつまでも動いている一因。
      なにもしなければ問題は起きず、未来永劫変わらないとか思ってるんだもの。
      現実は何もしないから問題が起きるというのに。

      • by Anonymous Coward

        ユーザ企業のシステム部門ならそういう発想になってもある意味しょうがないかとも思うけど、保守会社はパッチ当てるのが仕事みたいなものやろ。

        • by Anonymous Coward

          でも客がOK出さない限り、保守会社はパッチを当てる作業を行えないのが普通だろう。

          保守会社がパッチの必要性を説明したのか、客はどう判断したのか放置したのか、経緯が分からんとなんとも。

          • by Anonymous Coward

            パッチ当てたら動かなくなるかもなんてのは保守やる会社が心配することで、客からすればパッチ等は当然適用した上で不具合もあってはならん事。
            自分らがやってたときは、リリースノートを精査したり検証をした結果、当てない/必要がないと判断した場合にだけ、客への理由の説明が必要だったけどな。

            • by Anonymous Coward

              保守会社に何を任せられるかは千差万別とはいかなくとも個々で変わってくる。
              ハード迄だったり、OSまでだったり、全部だったりだ。
              また作業依頼だけ対応するなんてのもある。
              システムって独自に作りこんでたりパッケージでもカスタマイズと称して独自システムだったりするので、ユーザー企業側の責任になっていることは多い。
              その場合パッチ適用の必要性もユーザー企業の責任範囲になる場合が多くて、保守会社では判断出来ない。
              保守会社にしたらそんな独自システムへの影響なんてわからんからな。
              もちろんその独自システムの面倒まで見るところもあるが、それは開発元と同じか密に連携してる場合だけだろう。
              そこまでしてくれるとことでも、いつ適用するかのタイミングなんかはユーザー企業側と決めるとするところが多いはず。
              問答無用でやるなんて契約するところはあんまりない。

              そういうこともあって、パッチ適用なんかはユーザー企業側にも責任があるのがほとんどと考えていい。
              保守会社がいいようにしてくれるなんて、そんな契約もしてなければ金も払ってないのが現実。

          • by Anonymous Coward

            OKもなにも、最初から定期更新行うことにして、月1回以上のペースでスケジュールを組んでおくべき。
            個別の許諾を得るのは緊急性が高いものの場合のみ。

  • by Anonymous Coward on 2023年07月28日 14時27分 (#4502187)

    ランサムにやられた系のニュースの99割がFortiGateの脆弱性突かれてんだけど何なの
    知らないところでVPN鯖市場を独占でもしてんの?

    • by Anonymous Coward on 2023年07月28日 15時33分 (#4502235)

      しかもやられたニュースの大半が「パッチを当てていなかった」だよね。
      いい加減これでやられる方がどうかと思ってくるわ。

      # 弊社もFortiClient VPNとか使ってるからたぶんこれ。

      親コメント
      • by Anonymous Coward

        ファームの自動更新機能無いのかな?
        デフォルトONで出荷すればいいのに。

        • by Anonymous Coward on 2023年07月28日 15時58分 (#4502261)

          そんな自動障害発生装置のついた機器なんか怖くて使えない。

          親コメント
          • by Anonymous Coward

            更新時刻をずらして多重化すればいいじゃん。

            • by Anonymous Coward on 2023年07月28日 19時15分 (#4502371)

              Fortigate製品を知らない人なんですが、適当に検索した感じたと製品のHigh Availability構成を記事にしてくれてる人がいて、
              https://www.secuavail.com/kb/practical-post/fortigate-high-availability/ [secuavail.com]

              HA構成はWeb情報では同機種同OSバージョンでないといけないとよく書かれるが、公式ドキュメントにはそんなこと別に書かれていない
              みたいなことが書いてあって、OSバージョン多重化のために製品のHA構成を利用していいのかどうか迷うな。

              親コメント
              • by Anonymous Coward

                そりゃ同一機種同一バージョンにするのは「暗黙の了解なので、書かんでもわかるやろ」ってやつ。
                なお、基本的にハードウェアアプライアンスのHA構成は同一機種/異バージョンは"ある程度"考慮されている。(x.y.zのyまでは一緒であればOKとか、xやyが変わる時もzが特定のバージョン以上であればOK 等、じゃないとローリングアップデートができない)
                件のサイトは異機種/同一バージョンなのでサイトにも書いてあるが、ハードウェア構成の違いから予期しない不具合が発生しやすいので、実質使えない。(異機種/異バージョンなんか言わずもがな)
                どうしてもやりたければバーチャルアプライアンスにして、その下のハイパーバイザレイヤで異機種HAにするのが一般的かと。それでもハイパーバイザのバージョンは合わせる必要があるけど。

              • by Anonymous Coward

                オープンなプロトコルで構成すれば、そんな必要ないだろ

              • by Anonymous Coward on 2023年07月29日 11時51分 (#4502630)

                オープンなプロトコル、クローズドな実装なのがネットワーク機器業界でして。
                オープンなプロトコルでも、メーカーの解釈の違いや元からある機能の流用とかするから、
                異メーカーや異機種、異バージョンだと単なる博打になる。で、商売だとそんな博打打てないのよ。

                親コメント
              • by Anonymous Coward

                自分が遭遇した具体例だと、IPSec VPNのトンネルとか、鍵交換の時間とかのパラメータ違い(しかも調整不可)みたいなので、直後は繋がるのに数時間後に切れるみたいな不具合とかね。
                ファームのバージョンアップで互換性が無くなったりするとかも稀に起きる。

                結局ベンダとか機種の世代とか色々揃える羽目に。

          • by Anonymous Coward

            ランサムウェアを食らうのと天秤にかけて、そっちを選ぶのか?
            経営判断がおかし過ぎる。

          • by Anonymous Coward

            Windowsディスってんの?
            # 同感。

            • by Anonymous Coward

              どっちかというとディスってるのはchromeじゃない。
              攻撃防げない奴は「怖くて使えない」なんて言う資格ないけどね。社会の迷惑でしかない。
              自動更新するか機器そのものを使わないの二択だよ。

              • by Anonymous Coward

                なら、そもそも顧客にサービスを提供しない一択だな。廃業廃業!

        • by Anonymous Coward

          ver7.2からできます(まあつい最近のファームバージョンってことです)。
          デフォルト無効だし、お察しくださいませ。
          https://docs.fortinet.com/document/fortigate/7.2.0/new-features/369092... [fortinet.com]

      • by Anonymous Coward

        パッチを当ててないにしても、そんな容易に突破可能な脆弱性があるんだろうか・・
        NVDとかを調べてもそんなに致命的なものは無さそうだし、いったいなぜ・・・

        • by Anonymous Coward

          All-in-oneの機器で、機能がてんこ盛り。
          ゆえに、少しでも更新を怠ると、セキュリティーホールもてんこ盛り。

          • by Anonymous Coward on 2023年07月29日 8時38分 (#4502569)

            マジこれ。
            UTMとしてのIPS以外にルータ機能、普通のFW機能、VPN機能(IPSec/SSL/拠点間トンネル可)、SD-WAN、無線APコントローラー(場合によっては無線LAN AP自体内蔵)、二要素認証トークン管理機能、spamフィルタetc...と色々てんこ盛り。
            中小拠点ならこれ1台で全部済むから便利だけど、その分気を付けないとヤバイし、古くても表面化しにくい。。

            確か、下位の40F位は中身はAtom(今はArmの何かかもしれない)+SSDなPCにLinux入れて、
            パケット処理用にASICかFPGAを組み合わせたような構成だったような。

            親コメント
  • by Anonymous Coward on 2023年07月28日 14時57分 (#4502208)

    ・Softether/PacketiX
    ・WireGuard
    ・OpenVPN
    ・ShadowSocks
    ・V2RAY

    • by Anonymous Coward on 2023年07月28日 17時54分 (#4502340)

      どれ使ってもセキュリティアップデートかけなかったら同じなんじゃない?

      親コメント
      • by Anonymous Coward

        この手のソフトウェアは、全部Rustで書き直すべきだと思うわ。
        Cで書かれていること自体が怖すぎる。

        • by Anonymous Coward

          (繰り返し)
          どれ使ってもセキュリティアップデートかけなかったら同じなんじゃない?

          • by Anonymous Coward

            アップデートが必要にならなくなるわけじゃないが、大多数のセキュリティホールの原因となっているメモリ周りの問題が一掃されて、安全性が向上する。
            それにアップデートをしても対応はされない、未公開の脆弱性だって考慮しておかなければならない。

  • by Anonymous Coward on 2023年07月28日 21時56分 (#4502443)

    VPN突破って感染に至る第一段階でしかないと思うのだけど。
    突破したところで制約の緩い内部で悪意あるプログラムを実行させる以上は出来ないよね?
    悪意あるプログラムにやられてしまう個々のサーバー達にもまた何等かの脆弱性(ソフトウェアか運用上なのかは知らんが)があるんじゃないのか。
    勿論最初の防壁が破られた事は重大だし問題の始まりなんだけど、それだけが問題じゃないだろうと。

    • by Anonymous Coward

      制約の緩い内部

      だからこそ、いろいろできるよね。
      論理、おかしくね?

      • by Anonymous Coward

        緩いといっても乗っ取り可能なのは緩いの範疇超えているだろ。

  • by Anonymous Coward on 2023年07月30日 10時07分 (#4502839)

    システムで24時間タスクが組まれていると再起動させるタイミングがなくなる。
    土日があればそちらに回せるところがあるが

    今回のはネットワークの出入り口する部分に更新なので
    停止させると、セキュリティ関連のシステムが止まるので関連会社に連絡が必要。
    ネットワーク全体が停止するため業務に影響。
    そう言う諸々のスケジュールが組めないと
    fortygateの更新はできない。

    • by Anonymous Coward

      24時間止められないなら、段階的に更新ができる形で冗長化構成をとらないと。
      最初からネットワークの設計ミスだったとも言える。

typodupeerror

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

読み込み中...