セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 ニュース解説 不正アクセスの原因は推測可能なVPNのパスワード

不正アクセスの原因は推測可能なVPNのパスワード

不正アクセスの原因は推測可能なVPNのパスワード
目次
  • 今回の解説ニュース
  • 『 VPN 』について解説
  • パスワードを安全に管理するために

こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。

今回の解説ニュース

原因は推測可能なVPNのパスワード、村本建設へのランサムウェア攻撃

村本建設株式会社は5月31日、同社サーバへの不正アクセスについて第2報を発表した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

VPNの脆弱性が悪用されて、ランサムウェアに感染したとのことです。サイバー攻撃の起点となったVPNの概要や、パスワードの管理で気を付けるべきポイントについて説明します。

今回のインシデントは、データの一部がランサムウェアにより暗号化され、使用できない状況となったものです。原因として、管理運用していたVPN機器の管理アカウントのパスワードが推測可能なものであり、VPN機器を経由して同社内サーバ等への不正アクセスに利用されていたことが挙げられています。また、同社内サーバ領域にランサムウェア対策セキュリティソフトが導入されておらず、ランサムウェアの実行や社内システムネットワークでの不正な活動を防ぐことができなかったということです。

対策として、警察当局への被害申告と個人情報保護委員会への報告を行っています。再発防止策として、VPN機器の管理アカウントを含む各種管理者アカウントのパスワードを変更するとともに、サーバ領域も含め、XDRの導入などの再発防止のための技術的施策を整備しています。さらに、ネットワークシステム全体を見直し、より高いセキュリティ機能を有する新たなシステムへの移行に向けた検討を行うということです。

『 VPN 』について解説

VPNとは、Virtual Private Networkの略で、仮想専用線と訳される、インターネット上に構築されたプライベートネットワークです。社内ネットワークなどのプライベートネットワークにインターネット経由でアクセスする手段として、在宅勤務などで使われている場合があります。

例えば、みなさんが安全に道を渡る方法を考えたとします。歩道橋で歩行者専用の道を作った場合、確かに安全かもしれませんが、設置をするための期間や、維持をするためのコストは、それなりにかかってしまうことでしょう。一方で、一定時間だけ歩行者専用の道となる信号機を設置した場合、歩道橋と比較すると、コストは安く済むかもしれませんし、複数の道やスクランブル交差点などにも設置することができます。

VPNも同様で、専用線で拠点間を接続してしまうと、安全性は保たれながらも膨大なコストや設置をするための期間がかかってしまったり、拠点が増えるごとに専用線を別途設置する必要があります。一方で、VPNは必要な際に仮想的な専用線をインターネット上に構築するもので、ソフトウェアで実現されることから維持するためのコストが安く、拠点が増えてもVPNに対応するデバイスがあれば、簡単に設置することができます。

パスワードを安全に管理するために

パスワードを安全に管理するためには、パスワードマネージャを利用することが一般的です。パスワードマネージャとは、1つのマスターパスワードで複数のIDやパスワードを管理するソフトウェアやサービスです。個々のパスワードを覚える必要がなくなり、複雑なパスワードを設定することの懸念が解消されるため、安全なパスワードが設定できるようになります。

パスワードマネージャの主な機能は、パスワードの「記憶」「管理」「入力」「生成」の4つです。記憶は、覚える必要がない複雑なパスワードを人間の代わりに記憶してくれます。管理は、第三者に盗まれない安全な方法でパスワードを管理してくれます。入力は、人間の代わりに自動入力することで、フィッシングサイトに誤ってパスワードが入力されることを防ぎます。生成は、ランダムな文字列を生成することで、第三者にパスワードが推測されることを防ぎます。

今回は、サイバー攻撃の起点となったVPNの概要や、パスワードの管理で気を付けるべきポイントについてお届けしました。

Voicyでニュース解説ラジオ配信中!

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!

著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

Contact

お見積り・ご相談など、お気軽にご相談ください

ご相談・ご質問はこちら

お問い合わせ

お見積り依頼はこちら

お見積り依頼

資料請求はこちら

資料請求

お電話でのご相談はこちら
(平日10:00~18:00)

TEL.050-5532-3255
サイトTOPへ