「VPNは守れていた」という事実
私が気になった“ある一文”とは、
(2017年)10月28日から11月2日にかけて、産総研が保有するIPアドレスの全域に対してポートスキャンがあり、これにより、外部からの所内システムの利用の際に用いるVPNの接続口を発見され、11月1日から3日にかけてメールシステムのアカウントの一部を用いて不正接続が試みられていた。しかし、VPNサーバではワンタイムパスワード生成トークンによる二要素認証を実施していたことにより、侵入に失敗していた。
というものでした。
ここには、皆さんに覚えておいてほしい重要なポイントが落ちています。不正アクセスを仕掛ける攻撃者が欲しがるのは「社内ネットワークを自由に動ける権利」です。VPNに侵入できれば、その後は大手を振って各種サーバにアクセスが可能になるからです。もちろん、今回の攻撃者もそれを狙い、VPNの接続口まで発見しました(それが攻撃開始の翌日だった点も、注目に値します)。
ところが、その攻撃は失敗しました。その理由は「二要素認証」。ワンタイムパスワード生成トークンによる二要素認証に行く手を阻まれたことで、攻撃者が諦めたとみられています。この点には、多くの企業が学ぶべきでしょう。
恐らく、メールシステムで利用されていたIDや、最初に使われた「弱いパスワード」が、VPNへの接続にも使われたはずです。でも、二要素認証の仕組みさえあれば、こうした“カジュアルな”攻撃の多くは防げるのです。
ルールとしては存在しても、実施されないのであれば……
産総研は、今回の攻撃の“入口”になってしまった「弱いパスワード」を放置していたわけでもなかったようです。報告書には、下記のような文言があります。
- 職員に対するパスワードの設定ルールは定めていたものの、キーボード配列をなぞっただけの安易なパスワードを設定していた例があった(このため、100アカウントのパスワードを特定され、メールシステムなどに侵入された)。また、管理者パスワードについても安易な設定が少なからずあった。
- 2017年11月に新たなパスワードの設定ルールを設けるとともにパスワードの強度チェッカーを導入したが、キーボード配列をなぞっただけのようなパスワードを排除するようなものではなかった。
つまり、パスワードの設定ルールはしっかり用意していた上、パスワードの強度チェッカーも実装していたものの、実際の運用ではそれが浸透せず、完全には弱いパスワードを排除できていなかったというのが事実のようです。こうした問題を抱える組織は今の時点でも少なくないでしょう。
一体どうすれば、弱いパスワードを防げるのでしょうか? そして、企業や組織でアカウントを持つ皆さんに覚えておいてほしい「重要なこと」を、これからお伝えしましょう。
Copyright © ITmedia, Inc. All Rights Reserved.
次回の掲載をメールで受け取る
<div style="clear:both;margin:15px 0 0 0;padding:10px;"><!--●概要文--><div style="background:#eee;padding:5px 10px;font-size:small;margin:5px 0px 0px 0px;">※こちらのページには2015年4月以降の記事を掲載しております。<br>2014年11月〜2015年3月の記事をご覧になりたい方は「 <a href="/bizid/series/1129/" style="color:#369;">2014年11月〜2015年3月の記事一覧</a> 」を、2014年10月以前の記事をご覧になりたい方は「 <a href="/makoto/series/1129/" style="color:#369;">2014年10月以前の記事一覧</a> 」をご覧ください。</div></div>
"使いやすいパスワード”が、大規模組織のシステムをつぶす――「恐怖の実話」はなぜ起こったのか
