piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

警察庁内端末不正アクセスと5万件の脆弱なVPNホストの公開についてまとめてみた

警察庁は2020年11月27日、庁内の端末が1年以上前から不正アクセスを受けていたことを発表しました。また同時期に公開された脆弱なVPN機器リストについても併せてここでまとめます。

VPNのパスワードが漏れた可能性

  • 不正アクセスが確認されたのは警察庁情報通信局のノートPC1台。業務物品の手配を行う専用端末として利用されていたもの。
  • ノートPCは他のシステムとは接続されておらず、警察庁は情報流出の可能性は低いと判断。不正アクセスが行われたタイミングでは端末に情報保管を行っていなかった。
  • 複数のIPアドレスから2019年8月から2020年11月中旬まで合計46回の不正アクセスが行われていた。*1
  • ノートPCからインターネット接続を行う際にVPN機器を利用。このVPNのパスワードが第三者に利用された可能性がある。*2
警視庁からの情報提供を受け発覚
  • 2020年11月25日に警視庁から「不正アクセスを受けているのではないか」といった情報提供を受け発覚。
  • 警察庁は警視庁に被害を申告した。*3

同時期に脆弱なVPNホスト5万件が流通

  • 警察庁の不正アクセス被害の原因となったVPN機器が具体的に何かといった情報は発表、報道されていないが、同時期にFortinet社製機器の脆弱性を影響を受けるリストが公開されていた。
  • 2020年11月19日にハッキングフォーラム上に投稿されたもの*4で、CVE-2018-13379の影響を受けるリストとして49,577件の攻撃コードが含まれたURLが列挙されていた。
  • その後同フォーラム上ではコピーしたとみられるファイルや不正アクセスを行い実際にシステムファイルを取得したとされるアーカイブも流通している。このアーカイブにはVPN機器で利用するパスワードが含まれている可能性がある。アーカイブには49,562個のセッションデータとみられるファイルが含まれていたことから、リストに列挙された大半の機器に脆弱性が残っている(残っていた)可能性がある。*5
  • リスト公開の動きを受け、JPCERT/CCも2020年11月27日にパスワード変更対応などの呼びかけを行っている。脆弱性情報の公開から1年以上が経過しており、対象バージョン(かつSSL VPN機能が有効)に該当する場合、侵害事実の確認を含めた調査を行うことが推奨される。
f:id:piyokango:20201129070732p:plain
約5万件のリストが流通
CVE-2018-13379って何?
  • CVE-2018-13379はFortinet社FortiOSのSSL VPN機能の脆弱性で、2019年夏に注目された複数のVPN機器の脆弱性の1つ。

piyolog.hatenadiary.jp

  • 脆弱性は今回新たに判明したものではなく、2018年12月にDEVCORE Security Research TeamのMeh Chang氏、Orange Tsai氏により発見されたもの。Forinet社への報告後に脆弱性への対応が行われ、2019年5月24日に修正バージョンが公開されている。その後、2019年8月の研究調査発表で脆弱性の実証コードを含む詳細情報が公開された。
  • パス・トラバーサルの脆弱性で、機器の任意のファイルを認証無しに取得できる。この脆弱性を使い機器上に保管されたセッションデータファイルを取得し、機器の仕様でこのファイルに平文のパスワード文字列が含まれているため、盗んだ情報を使いVPNアカウントが侵害される恐れがある。

発見者による脆弱性デモ動画
www.youtube.com

リストには警察庁のIPアドレスも存在
  • このリストには国内に設置されたとみられる機器が多数含まれていた。piyokangoはリスト全体の1割が国内のIPアドレスであることを確認している。この内、確認できた組織名は600件以上で、大学などの教育関連や航空関連、独法などの組織名も含まれていた。
f:id:piyokango:20201130135046p:plain
IPの国別件数は日本はアメリカにつぎ2番目に多い
f:id:piyokango:20201130061546p:plain
リストに含まれていた警察庁のIPアドレス
国内600組織にサイバー攻撃と報道

共同通信によれば次の組織で被害が出ていると報じられた。*6

更新履歴

  • 2020年11月30日 AM 新規作成。
  • 2020年11月30日 PM リストに含まれていた国別上位20のグラフを追加。
  • 2020年12月1日 PM 共同通信記事を追記。

*1:警察庁の端末に不正アクセス 1年超で46回、気づかず,日本経済新聞,2020年11月27日

*2:警察庁の端末1台に外部から不正アクセス46回 情報流出は確認されず,毎日新聞,2020年11月27日

*3:警察庁端末に不正アクセス 計46回、1年超気付かず―今月発覚、情報流出なし,時事通信,2020年11月27日

*4:最初の投稿は既に削除されている。投稿者のアバターやHNも変更されている。

*5:行為が行われた時期は不明

*6:国内600組織にサイバー攻撃 テレワーク機器に欠陥、岐阜県庁など被害,中日新聞,2020年12月1日