心配していたことが、やはり起こりました。8/25付け日本経済新聞の一面トップ。「テレワーク 暗証番号流出 国内38社に不正接続」という記事。パルスセキュア社のVPNサービスを使っていた38社が修正プログラムを適用することなく使用し、不正アクセスを受けたようです。
パルスセキュアのVPNサービス
世界で2万社以上の顧客を持つ業界大手であり、昨年4月に自ら脆弱性について情報を公表、修正プログラムも提供されています。国内においてもJPCERTなどが再三注意喚起を行っていました。
昨年8月時点の情報では、この脆弱性を抱えたまま運用されているVPNサーバは世界で1万4500台あり、そのうち1511台が日本国内にあるといわれていました。
その後各社とも対策を講じ、今年3月末時点では国内にあった未対応の1511台は298台にまで減少しました。とはいえ、まだ300台も、、、この辺りからテレワークが盛んになってきます。
そして今回日経が伝えるところによると、国内では38社が不正アクセスを受けたとしています(海外を含めると900社超)。38社のうち日経が把握した被害企業としては、日立化成、住友林業、ゼンショーホールディングス、オンキョー、全薬工業、岩谷産業、ダイヘン、自動車総連などの名前があがっています。
フォーティネット、パロアルトネットワークス
今回はパルスセキュアのVPNが狙われ、脆弱性に対する適切な対応を怠った企業がその被害にあったというお話です。実は他にも脆弱性が注意喚起されていたVPN製品として、フォーティネット、パロアルトネットワークスの名前が4月時点であがっていました。
パルスセキュアほど多くはないかもしれませんが、この両社の製品に関しても、既知の脆弱性に対してパッチの適用や必要なシステムアップデートが行われず、不正アクセスを受けてしまったというニュースも、、、たぶんこのあと出てくるんでしょうね。