これは単なる管理の不注意の問題だ。
欠陥が公表されているのに放置していた管理サイドの問題で、VPN の欠陥を探求しての犯罪ではない。公知の欠陥だから。
欠陥を公表する時の作法が必要かもしれない。管理者のレディネスをどこまで考慮するか。いきなり欠陥を公表したのならそのメーカーとか団体が問題だ。 予め通知しても、犯罪者も準備するからキリがないことだが、不意打ちよりはましだ。
/
https://digital.asahi.com/articles/ASN8T3TNMN8TUTIL002.html?pn=5
VPN欠陥つくサイバー攻撃 国内外900社の情報流出
2020年8月25日 11時58分
米国の公的機関は、パルス・セキュア社のVPN機器の欠陥と修正についての情報を提供している
社外から企業内のネットワークに接続するときに使う「仮想プライベートネットワーク(VPN)」の通信機器の欠陥をついたとみられるサイバー攻撃があり、国内外900社が機器を使う際の情報が流出していたことが内閣サイバーセキュリティセンター(NISC)への取材でわかった。VPNはテレワークの拡大もあり、利用者が広がっている。
NISCは8月中旬、匿名でやりとりできる「ダークウェブ」上で、VPNを利用する際のユーザー情報やパスワードなどがやりとりされていることを確認。流出した情報は暗号化されており、実際に不正ログインされた被害は把握していないという。
被害に遭った企業などは、米パルス・セキュア社のVPN機器を利用していたとみられる。同社は昨年春、製品に外部からのサイバー攻撃で情報が流出するおそれがある欠陥が見つかったとして、修正プログラムを公開。更新するよう求めていた。今回流出が確認されたのは、更新前の装置から盗まれた情報とみられる。
NISCの担当者は「サイバー攻撃者に狙われるきっかけになりかねない」とし、ソフトウェアを更新して常に最新の状態にしておくことや、2要素認証などの徹底を呼びかけている。
※
