2020年8月4日、ZDnetはハッキングフォーラム上で900を超える脆弱なVPNサーバーから取得した認証情報が公開されたと報じました。ここでは関連する情報をまとめます。
www.zdnet.com
何が起きたの
- 900件以上のVPNサーバー(Pulse Connect Secure)のパスワードを含む情報がハッキングフォーラムで公開された。その1割が日本国内のIPアドレス。
- ファイル生成日より2020年6月末から7月にかけデータ窃取の不正アクセスが行われた可能性がある。
- 影響を受けたサーバーの場合、ファームウェア更新だけでなく、パスワード変更やセッション破棄を即行う必要がある。
1年以上前に修正された脆弱性悪用か
- データ窃取のために悪用された脆弱性は2019年4月に修正されたPulse Connect Secureの脆弱性CVE-2019-11510とみられる。
- Bad Packetsの調査によれば2020年3月4日時点でも脆弱性が修正されていない2000件以上のPulse SecureのVPNサーバーが存在していた。ZDnetの取材に対し、今回確認された911件のIPアドレスの内、677件は自分たちのスキャンでも検出していたと回答している。
- JPCERT/CCは2020年3月末に同脆弱性等を悪用した攻撃が国内でも複数発生していると経過報告を行っている。
フォルダ名にメモ書き?
- 「pulse1」等と数字の付けられたフォルダにIPアドレス別に分けられたフォルダが格納されており、テキストデータとしてPulse Connect Secureより取得したとみられる次のデータが含まれていた。
- Pulse Connect Secureのファームウエアバージョン情報
- サーバーのSSH秘密鍵
- ローカルアカウントの情報(アカウント名、ユニークID、パスワードハッシュ)
- 管理アカウントの情報(アカウント名、ユニークID、パスワードハッシュ)
- 観測されたVPNログイン済ユーザーの情報(アカウント名、パスワード(平文)、名前、メールアドレス、OS、言語、IPアドレス)
- VPNセッション Cookieの一覧(Cookieとそのユーザー(アクティブかを含む)のリスト)
- 出力されたレポート形式から、セキュリティ研究者のJon Williams氏が公開した「pwn-pulse.sh」を使用したのではないかとみられる。
- フォルダ名にはコメントとみられる文字列が散見された。「валид сидит юзер(有効なユーザーあり)」「валид но не подходят юзеры к рдп(有効だが、ユーザーがRDPを使えない)」「hash not found」など。目を引いたのか組織名らしき文字列が書かれているフォルダもあり、日本企業の名前も含まれていた。ツールを回して単にレポートを吐いただけでなく、その内容を確認しどこが落とせるか、あるいは価値があるか選別している可能性がある。
- 911件のIPアドレスの国別内訳トップ10は以下の通り。ただし、リスト中には海外現地法人なども含まれている。
国名 | 件数 |
---|---|
アメリカ | 262 |
日本 | 90 |
イギリス | 59 |
中国 | 59 |
フランス | 42 |
ドイツ | 40 |
香港 | 33 |
韓国 | 29 |
スペイン | 25 |
台湾 | 23 |
その他 | 249 |
投稿先フォーラムでは標的型ランサムの関係者も参加
- 報じられたデータの投稿日は8月4日。投稿されていたのはロシア語圏のハッキングフォーラム。*1
- ポストされたタイトルには1800といった数字があるが、実際に公開されたデータは900件超だった。数に差異があることについては投稿での言及はされていない。(そのためまだ他にも手持ちがあるのか等は不明)
- 8月7日時点でフォーラムへ投稿されたURLの参照先は削除されていたが、別のフォーラムではコピーしたファイルなどが流通している状況。
- データ公開の投稿が行われたフォーラムでは複数の標的型ランサムのアクターも投稿を行っており、同様の情報を得て活動している可能性も考えられるとZDnetは指摘している。
- 関係性は不明だが、国内で標的型ランサムの被害を受けた組織が使用しているとみられるVPNサーバーもこのデータに含まれていた。
国内メディアの報道
2020年8月25日に日経が1面で取り上げ、後追いで朝日、共同通信が取り上げた。24日に先行公開されたWeb記事は相当の反響があり、「不正接続」が一時Twitterのトレンドにも上がっていた。
- 日経新聞 テレワーク、VPN暗証番号流出 国内38社に不正接続
- 朝日新聞 VPN欠陥つくサイバー攻撃 国内外900社の情報流出
- 朝日新聞 崩れたネットの「関所」VPN 在宅勤務増で急ごしらえ
- 共同通信 在宅勤務の認証情報38社が流出 住友林業や日立化成など悪用恐れ
- 「38社」は日経が報じた先のデータに含まれていたものの中で帰属組織の確認が取れた数字。朝日新聞は独自にデータを入手、分析し少なくとも50以上の組織が含まれていたと報じている。名指しされた各社は社内システムの被害発生を否定するリリースを相次ぎ公表している。
名指しされた企業 | 報道に対する見解 |
---|---|
住友林業 | セキュリティ専門会社の助言を受け、社内システムへの不正アクセスがないことを確認済。以前より多要素認証を導入しており、第三者の侵入はできない。 |
岩谷産業 | 利用中のVPN装置に脆弱性が残っていたため数件の認証情報の流出を確認。別の認証も組み合わせた対策をとっており、第三者がアクセスできない仕組み。 |
オンキヨー | 2019年9月時点で脆弱性は対策済み。9月以前からもOTP、他認証による対策実施済み。社内データ流出等の被害発生は確認していない。 |
全薬工業 | 事前に情報入手し対応中。複数の認証を使用しており、社内システムへの侵入はされていない。 |
ダイヘン | 以前から多要素認証を採用。発表時点で社内システムへの侵入事実なし。 |
ゼンショーHD | 現時点で不正アクセスの事実は確認されていない。情報流出については調査を継続中。 |
日本アンテナ | 状況把握、対応完了済。アクセス制御は当該事象以外に実施しており、現時点で被害確認無し。 |
在宅勤務の緊急対応で被害
平田機工がVPN装置の脆弱性に起因するインシデント報告を行っている。
- [PDF] 情報セキュリティインシデントについて
- Pulse Connect Secureといった直接の言及はないが、ファイルのタイムスタンプが6月25日だったこと等から関連インシデントとみられる。
- 平田機工は元々脆弱性対応が済んでいたVPN装置を運用していたが、在宅勤務による負荷分散のため急遽取り換え前の旧装置を稼働することとなった。
- 旧装置には脆弱性が残ったままであったため、これを悪用され認証情報が盗み取られる事態が発生。しかし、事前に登録された機器からのみアクセスを許可する設定としたことから、ログインが試行されるも失敗。社内システムへの侵入形跡は確認されていない。
これまで公開されたデータから推定していた以下事実を平田機工の発表から伺い知れた。
- データは創作物ではなく、脆弱性が本当に悪用され盗まれたもの。
- 公開された情報は実際に悪用(不正アクセス)されている。
更新履歴
- 2020年8月8日 AM 新規作成
- 2020年8月26日 PM 国内報道の件を追記
*1:経緯未確認だが8月8日時点で投稿者のアカウントは停止されていた。