1年以上前の脆弱性が狙われる現実

　警察庁内の端末1台が、外部から不正アクセスを受けていたことが判明した。被害にあったのは、発注などに使っている業務用のPCだ。警視庁から不正アクセスされているのではないと指摘され、調査を行ったところ当該PCに複数のIPアドレスからの不正アクセスが確認された。確認された期間は2019年8月からとされ、2020年11月まで、1年以上攻撃に気が付かなかったことになる。

　侵入は、リモートアクセスに使っていたVPN装置の脆弱性を突かれ、ログインパスワードが利用されたと思われる。この脆弱性（CVE-2018-13379）はフォーティネット（Fortinet）製のルーターに2018年12月に発見されたもの。フォーティネットは2019年5月に修正版を公開している。

　ちなみに、この脆弱性については2019年8月に開催されたセキュリティカンファレンス「Blackhat USA」で攻撃のPoCコードが公開されている。これは警察庁のPCに不正アクセスが始まった時期と重なる。犯人がBlackhatで公開されたPoCを利用したかは不明だが、BlackhatでのPoC公開の3カ月も前にパッチが公開されているのに、カンファレンスでPoCが公開された時点で実害が起きていることは、多くのセキュリティ担当者にとって頭が痛い現実を見てしまったことになる（それも何度目だろう）。

　しかし、警察庁が特別に怠惰だとは言えない。2020年11月、この脆弱性（CVE-2018-13379）のパッチを適用していないVPN機器のIPがリスト化され、クラッカーなどが閲覧するフォーラムに投稿されていた。そのリストは約5万件に及んでいたという。

　脆弱性ハンドリングの欠点は、パッチや修正プログラムの適用を強制できないことだ。技術的な理由でパッチを適用できない状況も存在するが、結果として、「うちが狙われることはないだろう」という生存バイアスによって脆弱性が放置されてしまう。ゼロデイ攻撃に怯えるのも良いが、過去の脆弱性のほうがよほど危険だ。

IoT機器の脆弱性管理の難しさ

　脆弱性管理は、とにかくパッチを当てる、バージョンアップをすることに尽きるのだが、現実にこれを徹底することはそう簡単ではない。企業システムにおいて、これはある程度やむを得ない。必要悪ともいうべきもので、セキュリティ担当者は、確実な対応策がバージョンアップだとしても、それを100％実施する・できることを前提としてはならない。

　既存システムへの影響の確認には時間と手間がかかる。その都度システム停止やシステム改修を行うのは現実的に不可能だろう。パッチを当てられない場合の「プランB」とセットで考えなければならない。仮にパッチ適用が可能な場合でも、それがPCやIoT機器などエンドデバイスの脆弱性だと、そもそもすべてのデバイスの管理・パッチ適用が可能なのかという現実も立ちはだかる。

　UTM（統合脅威管理）製品の脆弱性であるCVE-2018-13379は、まさにこの問題が当てはまる事例といえる。フォーティネット社の製品は国内UTM市場において35％近くを占めている。理由は、もちろん製品自体の機能など市場競争力があるからに他ならないが、フォーティネットはNTT東日本、NTT西日本の取り扱い製品の1つであることも指摘しておきたい。

【次ページ】ゼロトラストネットワークにしても解決にはならない