名古屋港のシステム停止、VPNの脆弱性を突かれたか 45
ストーリー by nagazou
VPNリスク 部門より
VPNリスク 部門より
名古屋港運協会は26日、7月4日に発生したNUTS(名古屋港統一ターミナルシステム)がランサムウエア被害を受けた件に関する調査報告を発表した。障害の要因に関してはランサムウェアへの感染と確定している。現段階で判明している状況としては、リモート接続機器の脆弱性が確認されており、そこから不正なアクセスを受けたと考えられているという。これにより、データセンター内にある NUTS の全サーバーが暗号化された。脅迫文に身代金額の記載はなかったとされる。外部への情報漏洩の形跡は確認されていない(名古屋港運協会リリース[PDF]、日経クロステック)。
読売新聞の記事によると、ウイルスはVPNを経由して送り込まれた可能性が高いことがわかったという。システムに使われていたVPNは、不正アクセスに対する脆弱性が指摘されていたが、対策はされていなかった。被害にあった名古屋港運協会のシステムは、米フォーティネット社製のVPN機器「フォーティゲート」を使用していたとされる。フォーティネットは6月、この機器に新たな脆弱性が発見されたことを公表し、修正プログラムを提供していたが、名古屋港運協会は今年4月以降は修正プログラム適用をおこなっていなかったという(読売新聞)。
読売新聞の記事によると、ウイルスはVPNを経由して送り込まれた可能性が高いことがわかったという。システムに使われていたVPNは、不正アクセスに対する脆弱性が指摘されていたが、対策はされていなかった。被害にあった名古屋港運協会のシステムは、米フォーティネット社製のVPN機器「フォーティゲート」を使用していたとされる。フォーティネットは6月、この機器に新たな脆弱性が発見されたことを公表し、修正プログラムを提供していたが、名古屋港運協会は今年4月以降は修正プログラム適用をおこなっていなかったという(読売新聞)。
以下、担当者はつぶやいた禁止 (スコア:0)
禁止
Re: (スコア:0)
??
Re: (スコア:0)
ふぉー てぃー げと
想定外
とかそんなオヤジギャグでも思い浮かんだんじゃね?
システム「保守会社」が保守しない? (スコア:0)
脆弱性のあるVPNサーバー経由でランサムウェアを送り込むなんて定番の手口 [zscaler.jp]なわけだけど、名古屋港の協会が契約していたシステム保守会社って、何の「保守」をしていたのかな? VPNは「システム」の一部じゃない? よくわからん。
Re:システム「保守会社」が保守しない? (スコア:2, 参考になる)
定番つっても本来VPNに不正アクセスされてLANに侵入されても、手口にあるように何重にもセキュリティを突破する必要があり、
直ちにランサムウェアに感染とはならんはすなのに、どうしてこう揃いも揃って被害にあってしまうのか。
VPN機器のメンテしてないなら、LAN内の機器はOSアップデートしてなくしてもおかしくなくて、脆弱性を突かれて何もかもすっ飛ばして感染なのかもだが。
VPNと鯖のどちらもやられたときに表面化してるだけで、VPNの不正アクセスはとんでもない規模で起こってたりするのかな。
VPNに関係なくNATの内側にあるBOT化したユーザ端末を踏み台にしてやられるケースも起こっていい気がするが、手口の流行もあるのかねぇ。
Re: (スコア:0)
VPNに関係なくNATの内側にあるBOT化したユーザ端末を踏み台にしてやられるケースも起こっていい気がするが、手口の流行もあるのかねぇ。
もしかして、、、VPN:Virus Pandemic Network、、、
# お役所的な対応するところは未だにPPTPとかって可能性も、、、
Re: (スコア:0)
VPNの既知の(しかもここまで有名な)脆弱性を放置してるような組織は
正直LANの中は丸裸でしょ
機器更新するお金がないとかで7や最悪XPが現役だったり、Win10にはなっててもスキャンで重くなるのが嫌とかでわざわざDefender止めたりとか
Re: (スコア:0)
LANのセグメントを広げてほしい、と言われたけど連続したセグメントは確保できなかったので、ブロードキャストを利用するようなサーバーソフトウェアって使われてますか?と確認して無いよ、と回答をもらったけどあった経験。構成図ありますか?と確認しても無いよと、回答をもらって、そっちはほんとに無かった。
21世紀やぞ!!!
Re: (スコア:0)
気づいてないだけで既に起きているんじゃね。
ランサムウェアだから気づかれるけど、静かに潜り込まれてたら気づけないでしょう。
VPN経由でなくとも標的型攻撃でやられているとかかなりあるでしょう。
Re: (スコア:0)
マジレスすると。
VPNのファームアップを行わない業者が、VPNだけファームアップしてないと思う?
多分接続されてる機器・ソフト全部ひっくるめてアップデートしてないよ。
Re: (スコア:0)
日本の「保守」は実は中道だから仕方ない
Re: (スコア:0)
パッチ当てたら動かなくなるかもって当てようとしないからな。
古いシステムがいつまでも動いている一因。
なにもしなければ問題は起きず、未来永劫変わらないとか思ってるんだもの。
現実は何もしないから問題が起きるというのに。
Re: (スコア:0)
ユーザ企業のシステム部門ならそういう発想になってもある意味しょうがないかとも思うけど、保守会社はパッチ当てるのが仕事みたいなものやろ。
Re: (スコア:0)
でも客がOK出さない限り、保守会社はパッチを当てる作業を行えないのが普通だろう。
保守会社がパッチの必要性を説明したのか、客はどう判断したのか放置したのか、経緯が分からんとなんとも。
Re: (スコア:0)
パッチ当てたら動かなくなるかもなんてのは保守やる会社が心配することで、客からすればパッチ等は当然適用した上で不具合もあってはならん事。
自分らがやってたときは、リリースノートを精査したり検証をした結果、当てない/必要がないと判断した場合にだけ、客への理由の説明が必要だったけどな。
Re: (スコア:0)
保守会社に何を任せられるかは千差万別とはいかなくとも個々で変わってくる。
ハード迄だったり、OSまでだったり、全部だったりだ。
また作業依頼だけ対応するなんてのもある。
システムって独自に作りこんでたりパッケージでもカスタマイズと称して独自システムだったりするので、ユーザー企業側の責任になっていることは多い。
その場合パッチ適用の必要性もユーザー企業の責任範囲になる場合が多くて、保守会社では判断出来ない。
保守会社にしたらそんな独自システムへの影響なんてわからんからな。
もちろんその独自システムの面倒まで見るところもあるが、それは開発元と同じか密に連携してる場合だけだろう。
そこまでしてくれるとことでも、いつ適用するかのタイミングなんかはユーザー企業側と決めるとするところが多いはず。
問答無用でやるなんて契約するところはあんまりない。
そういうこともあって、パッチ適用なんかはユーザー企業側にも責任があるのがほとんどと考えていい。
保守会社がいいようにしてくれるなんて、そんな契約もしてなければ金も払ってないのが現実。
Re: (スコア:0)
OKもなにも、最初から定期更新行うことにして、月1回以上のペースでスケジュールを組んでおくべき。
個別の許諾を得るのは緊急性が高いものの場合のみ。
ランサム=FortiGate (スコア:0)
ランサムにやられた系のニュースの99割がFortiGateの脆弱性突かれてんだけど何なの
知らないところでVPN鯖市場を独占でもしてんの?
Re:ランサム=FortiGate (スコア:1)
しかもやられたニュースの大半が「パッチを当てていなかった」だよね。
いい加減これでやられる方がどうかと思ってくるわ。
# 弊社もFortiClient VPNとか使ってるからたぶんこれ。
Re: (スコア:0)
ファームの自動更新機能無いのかな?
デフォルトONで出荷すればいいのに。
Re:ランサム=FortiGate (スコア:1)
そんな自動障害発生装置のついた機器なんか怖くて使えない。
Re: (スコア:0)
更新時刻をずらして多重化すればいいじゃん。
Re:ランサム=FortiGate (スコア:1)
Fortigate製品を知らない人なんですが、適当に検索した感じたと製品のHigh Availability構成を記事にしてくれてる人がいて、
https://www.secuavail.com/kb/practical-post/fortigate-high-availability/ [secuavail.com]
HA構成はWeb情報では同機種同OSバージョンでないといけないとよく書かれるが、公式ドキュメントにはそんなこと別に書かれていない
みたいなことが書いてあって、OSバージョン多重化のために製品のHA構成を利用していいのかどうか迷うな。
Re: (スコア:0)
そりゃ同一機種同一バージョンにするのは「暗黙の了解なので、書かんでもわかるやろ」ってやつ。
なお、基本的にハードウェアアプライアンスのHA構成は同一機種/異バージョンは"ある程度"考慮されている。(x.y.zのyまでは一緒であればOKとか、xやyが変わる時もzが特定のバージョン以上であればOK 等、じゃないとローリングアップデートができない)
件のサイトは異機種/同一バージョンなのでサイトにも書いてあるが、ハードウェア構成の違いから予期しない不具合が発生しやすいので、実質使えない。(異機種/異バージョンなんか言わずもがな)
どうしてもやりたければバーチャルアプライアンスにして、その下のハイパーバイザレイヤで異機種HAにするのが一般的かと。それでもハイパーバイザのバージョンは合わせる必要があるけど。
Re: (スコア:0)
オープンなプロトコルで構成すれば、そんな必要ないだろ
Re:ランサム=FortiGate (スコア:1)
オープンなプロトコル、クローズドな実装なのがネットワーク機器業界でして。
オープンなプロトコルでも、メーカーの解釈の違いや元からある機能の流用とかするから、
異メーカーや異機種、異バージョンだと単なる博打になる。で、商売だとそんな博打打てないのよ。
Re: (スコア:0)
自分が遭遇した具体例だと、IPSec VPNのトンネルとか、鍵交換の時間とかのパラメータ違い(しかも調整不可)みたいなので、直後は繋がるのに数時間後に切れるみたいな不具合とかね。
ファームのバージョンアップで互換性が無くなったりするとかも稀に起きる。
結局ベンダとか機種の世代とか色々揃える羽目に。
Re: (スコア:0)
ランサムウェアを食らうのと天秤にかけて、そっちを選ぶのか?
経営判断がおかし過ぎる。
Re: (スコア:0)
Windowsディスってんの?
# 同感。
Re: (スコア:0)
どっちかというとディスってるのはchromeじゃない。
攻撃防げない奴は「怖くて使えない」なんて言う資格ないけどね。社会の迷惑でしかない。
自動更新するか機器そのものを使わないの二択だよ。
Re: (スコア:0)
なら、そもそも顧客にサービスを提供しない一択だな。廃業廃業!
Re: (スコア:0)
ver7.2からできます(まあつい最近のファームバージョンってことです)。
デフォルト無効だし、お察しくださいませ。
https://docs.fortinet.com/document/fortigate/7.2.0/new-features/369092... [fortinet.com]
Re: (スコア:0)
パッチを当ててないにしても、そんな容易に突破可能な脆弱性があるんだろうか・・
NVDとかを調べてもそんなに致命的なものは無さそうだし、いったいなぜ・・・
Re: (スコア:0)
All-in-oneの機器で、機能がてんこ盛り。
ゆえに、少しでも更新を怠ると、セキュリティーホールもてんこ盛り。
Re:ランサム=FortiGate (スコア:1)
マジこれ。
UTMとしてのIPS以外にルータ機能、普通のFW機能、VPN機能(IPSec/SSL/拠点間トンネル可)、SD-WAN、無線APコントローラー(場合によっては無線LAN AP自体内蔵)、二要素認証トークン管理機能、spamフィルタetc...と色々てんこ盛り。
中小拠点ならこれ1台で全部済むから便利だけど、その分気を付けないとヤバイし、古くても表面化しにくい。。
確か、下位の40F位は中身はAtom(今はArmの何かかもしれない)+SSDなPCにLinux入れて、
パケット処理用にASICかFPGAを組み合わせたような構成だったような。
もっとマシな接続使えよ・・・ (スコア:0)
・Softether/PacketiX
・WireGuard
・OpenVPN
・ShadowSocks
・V2RAY
Re:もっとマシな接続使えよ・・・ (スコア:2, すばらしい洞察)
どれ使ってもセキュリティアップデートかけなかったら同じなんじゃない?
Re: (スコア:0)
この手のソフトウェアは、全部Rustで書き直すべきだと思うわ。
Cで書かれていること自体が怖すぎる。
Re: (スコア:0)
(繰り返し)
どれ使ってもセキュリティアップデートかけなかったら同じなんじゃない?
Re: (スコア:0)
アップデートが必要にならなくなるわけじゃないが、大多数のセキュリティホールの原因となっているメモリ周りの問題が一掃されて、安全性が向上する。
それにアップデートをしても対応はされない、未公開の脆弱性だって考慮しておかなければならない。
VPN突破されたから感染した? (スコア:0)
VPN突破って感染に至る第一段階でしかないと思うのだけど。
突破したところで制約の緩い内部で悪意あるプログラムを実行させる以上は出来ないよね?
悪意あるプログラムにやられてしまう個々のサーバー達にもまた何等かの脆弱性(ソフトウェアか運用上なのかは知らんが)があるんじゃないのか。
勿論最初の防壁が破られた事は重大だし問題の始まりなんだけど、それだけが問題じゃないだろうと。
Re: (スコア:0)
制約の緩い内部
だからこそ、いろいろできるよね。
論理、おかしくね?
Re: (スコア:0)
緩いといっても乗っ取り可能なのは緩いの範疇超えているだろ。
24時間あるある (スコア:0)
システムで24時間タスクが組まれていると再起動させるタイミングがなくなる。
土日があればそちらに回せるところがあるが
今回のはネットワークの出入り口する部分に更新なので
停止させると、セキュリティ関連のシステムが止まるので関連会社に連絡が必要。
ネットワーク全体が停止するため業務に影響。
そう言う諸々のスケジュールが組めないと
fortygateの更新はできない。
Re: (スコア:0)
24時間止められないなら、段階的に更新ができる形で冗長化構成をとらないと。
最初からネットワークの設計ミスだったとも言える。