/

サイバー攻撃、「関門」が入り口に 放置される欠陥

内部システムにインターネットを介して安全に接続できるようにする「VPN(仮想私設網)」機器の欠陥を放置した結果、国内の約600の組織で不正アクセスにつながる情報が流出、公開される事態が起きた。侵入を防ぐ「関門」が逆にサイバー攻撃の入り口になってしまう恐れがあり、専門家は警戒を呼びかけている。

愛知県の一宮市立市民病院は12月初旬、総務省の担当者から「複数のIPアドレスが流出しているので気をつけてください」と連絡を受けた。アドレスが流出していたのは米フォーティネット社製のVPN機器。7年前、院外からも医師がレントゲン画像を参照できるようにタブレット端末2台を導入した際、院内システムに安全に接続するために設置していた。

フォーティ社は2019年5月、一部の機器についてログイン情報を外部から容易に閲覧できてしまう欠陥があると公表し、修正ソフトを配布していた。欠陥が放置されている機器のIPアドレスを何者かがリスト化して闇市場で販売していたとみられ、20年11月中旬になってインターネット上にリストが公開されたことで問題が広く認知された。

一宮市立市民病院のセキュリティー担当者は、総務省から連絡があるまでこうした情報を把握しておらず「リスクへの感度が低かったと反省しなければいけない」と話す。タブレット端末の使用頻度が低かったため、20年2月以降は運用を取りやめており、幸い不正アクセスを受けた形跡はなかったという。

リストで公開されたフォーティ社製機器のIPアドレスは全世界で約5万個。サイバー対策企業S&J(東京・港)によると、日本に拠点を置く組織のものとみられるアドレスは約5400個、全体の1割超を占めた。少なくとも600の組織でアドレスが流出し、医療機関や大学、政府系機関や自治体、電機メーカー、IT企業、金融機関、法律事務所など多岐にわたった。

警察庁内で使っていた機器のIPアドレスも流出し、入札情報を管理する端末が19年8月以降に計46回の不正アクセスを受けていた。情報流出はなかったとしているが、同庁幹部は「不正アクセス時にたまたまファイルを保存していなかっただけ」と話す。

内閣サイバーセキュリティセンター(NISC)の分析でも流出アドレスは国内218の組織で延べ4954個に上り、NISCは各事業者に注意喚起するよう総務省、経済産業省、金融庁などに要請した。 文部科学省も少なくとも21大学で流出があったことを把握し、被害が出た場合は報告するように各大学に求めた。

VPNの欠陥を巡っては、20年8月にも米パルスセキュア社製の機器を使用していた国内38社で不正アクセスが発生している。パルス社は19年4月に修正ソフトを公表していたが、反映していなかった企業が狙われた。

S&Jの三輪信雄社長は「VPNがサイバー攻撃の標的になり始めたのはこの1年ほど。リスクに対する意識が十分に浸透しておらず、欠陥が放置されることになったのではないか」と指摘。「テレワークが広がるなか、VPNは欠かせない技術となっているが、外部からの侵入を許す『裏口』にもなりうる」として警戒を求めている。

▼VPN(仮想私設網) 「バーチャル・プライベート・ネットワーク」の頭文字を取った略語。通信データを暗号化するなどしてインターネット上に仮想の専用線を設け、国内外の拠点や自宅、外出先など、離れた場所からでも閉鎖的な内部システムに安全にアクセスできるようにする仕組み。実際の専用線よりコストを低く抑えることができる。

春割ですべての記事が読み放題
今なら2カ月無料!

セレクション

トレンドウオッチ

新着

ビジネス

暮らし

ゆとり

新着

ビジネス

暮らし

ゆとり

新着

ビジネス

暮らし

ゆとり

フォローする
有料会員の方のみご利用になれます。気になる連載・コラム・キーワードをフォローすると、「Myニュース」でまとめよみができます。
春割で申し込むログイン
記事を保存する
有料会員の方のみご利用になれます。保存した記事はスマホやタブレットでもご覧いただけます。
春割で申し込むログイン
Think! の投稿を読む
記事と併せて、エキスパート(専門家)のひとこと解説や分析を読むことができます。会員の方のみご利用になれます。
春割で申し込むログイン