内閣サイバーセキュリティーセンター(NISC)はこのほど、米国特定企業Pの通信機器を導入した企業900社について、同社らのVPNに対するサイバー攻撃が確認されたと明らかにしました。
情報によると2020年8月頃より、特定のブラウザを使用することでアクセスできるダークウェブ環境のサイトにて、上記企業のVPNにアクセスするために必要なユーザー情報やパスワードがやりとりされている事象が発覚。NISCがこれを調査したところ、流出したアクセス情報(ユーザー情報やパスワード等)はいずれも暗号化されている情報であるものの、流出対象企業の多くがP社の通信機器を導入していた可能性など、共通点も判明したとしています。
なお、P社は対象の通信機器について、以前よりセキュリティ上の欠陥を把握し、2019年春には対策用の修正プログラムを公開していました。しかし攻撃者は修正プログラムの公開より早く脆弱性を利用し、情報を盗み取っていたものと見られます。
住友林業や日立化成なども被害発生、対策は実施済
VPNサービスは近年のテレワークの進展に伴い、急速に導入企業を拡大しているシステムです。このため、今回の事案に関連して影響を受けた企業は多く、国内においても住友林業、日立化成などについてログイン情報の流出が確認されています。
もっとも、対象企業では各自パスワードの変更やVPNサービスの利用停止などの対策を実施しており、顧客情報やシステムの改ざんなど深刻な被害は発生していないとのこと。また、上記以外の企業についても、別のシステムへの切り替えを検討するケースが増えており、対策が進んでいる状況です。
なお、NISCは今回の事案に関連し、VPNなどを導入する企業に「ソフトウェアの更新」や「二要素認証」など、脆弱性をカバーするための対策を呼び掛けています。
参照VPN欠陥つくサイバー攻撃 国内外900社の情報流出/朝日新聞