なぜSSL-VPNの脆弱性が放置されるのか ~ 日本で「サプライチェーン攻撃」が意味するもの | ScanNetSecurity
2024.07.24(水)

なぜSSL-VPNの脆弱性が放置されるのか ~ 日本で「サプライチェーン攻撃」が意味するもの

JPCERT/CCは「JPCERT/CC Eyes」に「なぜ、SSL-VPN製品の脆弱性は放置されるのか ~“サプライチェーン”攻撃という言葉の陰で見過ごされている攻撃原因について~」を公開した。

脆弱性と脅威
「サプライチェーン」と「サイバー攻撃」に関する用語の種類
  • 「サプライチェーン」と「サイバー攻撃」に関する用語の種類
  • JPCERT/CCによる脆弱な(または認証情報が漏えいした)SSL-VPNホストへの通知オペレーション(例)
  • SSL-VPN製品の商流(例)

 JPCERTコーディネーションセンター(JPCERT/CC)は7月14日、公式ブログ「JPCERT/CC Eyes」に佐々木勇人氏による「なぜ、SSL-VPN製品の脆弱性は放置されるのか ~“サプライチェーン”攻撃という言葉の陰で見過ごされている攻撃原因について~」を公開した。

 サプライチェーン攻撃というと、日本では一般的に大企業の下請企業が侵入型ランサムウェア攻撃被害に遭うなどのケースを指す。

 一方で、同じ用語に見える英語の「Supply Chain Attack」は、英NCSCのサプライチェーンセキュリティガイダンスと題したWebコンテンツに掲載されており、「Third party software providers」「Website Builders」「Third party data stores」「Watering hole attacks」の4つの例が示されている。

 つまり、サプライチェーン攻撃という用語は、国内では製品やサービス提供の連鎖への攻撃、海外では情報のやり取りの連鎖への攻撃を示しているという違いがあると考えられる。SolarWIndsへのサイバー攻撃のようなソフトウェアのサプライチェーン攻撃は、Supply Chain Attackに該当する。

 また、似たような言葉として「Island Hopping Attack」という用語がある。運用保守ベンダが設置したSSL-VPN接続経由での侵害事象を示す際に使われており、日本で一般的に使われるサプライチェーン攻撃に近い。「たかが言葉の違いではないかと思われるかもしれませんが、言葉の違いが脅威想定を大きく誤らせる可能性があることを懸念しています」と佐々木氏は指摘している。

 「取引先への攻撃による影響にどう対応するか」というサプライチェーンリスク対応の観点、BCP対応の観点も重要であるが、サイバー攻撃そのものへの対処としてまず取り組まなくてはならないのは、「なぜSSL-VPN製品の脆弱性が放置されたままだったのか」という点であるとした。

 JPCERT/CCがこれまで行ってきたヒアリングによると、SSL-VPN製品の大半は海外メーカーの日本法人や日本総代理店が直接ユーザーに販売・サポートするのではなく、リセラーやSIer経由で販売・導入される。そのため、ユーザー組織と直接の契約関係にないことが多く、脆弱性などの重要な情報がユーザーに伝わりづらくなっている。

 一方で、SIerが担当するのはシステム導入のみで、その後の運用保守は契約していない、あるいは運用保守ベンダがいても、その契約内容はハードウェアトラブル等の対応が主で、脆弱性の修正対応は明示的に契約内容に入っていないケースが多い。こうした商流上の関係により、脆弱性情報がユーザーに届かない、あるいは修正対応がサポートされていない現状があるとした。

 こうした、IT機器のサプライチェーン・商流上の問題について、リセラーやSIer、ベンダの責任であると指摘することは簡単であるが、当然ながら、前述のような脆弱性への対応は無償でできるような作業ではない。個別の運用保守契約の変更・追加や、そもそも誰がどのように費用的負担をするのか、といった検討を行う必要がある。また、こうした問題は外部不経済でもあるため、行政や業界でも取り組むべきであるとしている。

《吉澤 亨史( Kouji Yoshizawa )》

編集部おすすめの記事

特集

脆弱性と脅威 アクセスランキング

  1. マイクロソフトが 7 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 2 件

    マイクロソフトが 7 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 2 件

  2. 裏目に出たサンドボックス/露北軍事同盟/MFAの穴 ほか [Scan PREMIUM Monthly Executive Summary 2024年6月度]

    裏目に出たサンドボックス/露北軍事同盟/MFAの穴 ほか [Scan PREMIUM Monthly Executive Summary 2024年6月度]

  3. TeamCity におけるパス文字列処理の不備に起因する認証回避の脆弱性(Scan Tech Report)

    TeamCity におけるパス文字列処理の不備に起因する認証回避の脆弱性(Scan Tech Report)

  4. セキュリティホール情報<2003/05/06-1>

  5. PHPの脆弱性(CVE-2024-4577)を狙う攻撃に注意を呼びかけ

  6. スマホアプリ「ピッコマ」に外部サービスの APIキーがハードコードされている問題

  7. センチュリー・システムズ製 FutureNet NXRシリーズ、VXRシリーズおよび WXRシリーズに複数の脆弱性

  8. Windows 版 GlobalProtect App における権限昇格につながる任意のファイル削除の脆弱性(Scan Tech Report)

  9. Windows 11のスクリーンショット、黒塗りを復元できる可能性

  10. 細工した画像をFAXに送信しイントラネットにマルウェア感染させる脆弱性(チェック・ポイント)

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×