中小企業のためのセキュリティ対策

テレワークのVPN認証情報はなぜ盗まれたか?

VPN

NISC(内閣サイバーセキュリティセンター)の調査によると世界900社超のVPN情報が犯罪サイト上で取引され、そのうち38社は日本の企業だそうです。

米パルスセキュア社のVPNサービスを使用していた企業が不正アクセスを受け、情報流出に至ったようです。

パルスセキュア社のVPNサービスは1年以上前に脆弱性が公表されていました。
その後、修正プログラムも公開していましたが、修正プログラムを適用するとうまく通信がいかなくなることもあり、修正プログラムを適用しないまま利用を続けていたケースもあったと思われます。

VPNの通信自体は一応セキュアなものですが、認証情報(ID、パスワードなど)が流出してしまうと、だれでもその会社の社内ネットワークに侵入し、情報資産を盗まれることになります。

脆弱性が公表されるとハッカーは、脆弱性の対策がなされていない企業を標的に攻撃を仕掛けます。

こういったハッカーからの攻撃を防ぐには、

脆弱性が公表されたら、できるだけ早く修正プログラムを適用することが必要になります。

これはVPNに限らず、どのソフトウェア・WindowsなどのOSでも同じことです。

ただし、修正プログラムを適用することには慎重さも必要です。

修正プログラムを適用することにより、他のシステムがうまく稼働しなくなるということは普通に起こりえます。

そこで、脆弱性が公表された場合は、一旦そのソフトウェアの利用を停止するべきです。

できれば代替サービスを事前に用意しておき、すぐに切り替えられるようにしておくことが望ましいです。

停止したソフトウェアについては、社内のシステム管理者が一部のPCやサーバーのみに対して修正プログラムを適用し、まず稼働テストをします。

問題がなければ、全社的に修正プログラムを適用します。

問題がある場合には、修正プログラムの適用は見合わせ、代替手段に切り替えることになります。

以上は事後処置という観点での対応ですが、もちろん予防も重要です。

ID、パスワードだけの認証では、やはり手薄ですので、二要素認証(電子証明書、指紋認証など他の手段も組み合わせて利用者を認証する)の採用も検討したいです。

ABOUT ME
早稲田大学政治経済学部卒業。 みずほ情報総研株式会社(現みずほリサーチ&テクノロジーズ株式会社)、政府系金融機関SI企業勤務を経て、2020年アイトクコンサルティング設立。 ITを活用した業務改善、セキュリティ対策、クラウドサービス導入など中堅・中小企業を中心にIT・経営支援に従事。
お気軽にご連絡ください

中小企業診断士として経営相談、小さなIT対応相談もOKです!

  • Excelでデータ管理しているけど、もっと効率化したい
  • システム導入したいけど何から手をつけてよいか……
  • ITや経営で気軽に相談できる相手がいれば などなど

 

 

お問い合わせはこちらから

社長のお悩みお聞かせください!