2018年の初め、Cisco SystemsやPulse Secureといった大手VPNベンダーの製品に脆弱(ぜいじゃく)性が発見された。リモートからの攻撃や中間者攻撃といった深刻な脅威を生じさせる可能性があるという。企業は脆弱性を使った攻撃回避のため、VPNの使用を一切やめることを検討すべきだろうか。その場合、どんなVPN代替策を模索すればいいのか。
Pulse Secureはバージョン「5.2R9」と「5.3R4.2」で、問題となった脆弱性(SSL証明書認証の脆弱性)を修正した。脆弱性の情報をデータベース化して公開しているWebサイトの「kb.cert.org」では、脆弱性を修正しない場合、Pulse SecureのVPN製品「Pulse Secure Linux GUI」を信頼できないインターネットで使うべきではないと勧告している。
また、Cisco Systemsは2018年2月5日にセキュリティ情報を更新し「Cisco Adaptive Security Appliance」(Cisco ASA)のソフトウェアに存在するSSL VPN(同社はwebvpnと呼ぶ)の脆弱性を修正したと説明した。
攻撃者はさまざまな手段でVPNの情報を取得できる。例えばインターネットに接続された機器を検索するWebサイトの「Shodan」、認証局が発行した証明書をリストアップしたログ「Certificate Transparency」などだ。これらを悪用すれば、脆弱性のあるVPNを使っている端末を絞り込むことが可能だ。
VPNの脆弱性に加えて、企業が認識すべき他の問題もある。例えばPulseSecure.comのようなVPNを提供しているWebサイトが、第三者機関(セキュリティ評価サイトの「SecurityHeaders.io」など)での評価が非常に低い場合、組織はそのVPNを使用中止にする検討をした方がいい。ただ、評価が高いWebサイトでも、VPNが完全に安全であるという保証はない。
超リッチなイーロン・マスク氏の「言論の自由」は、あなたのそれと同じなのか?
Twitter買収の大義名分とされる「言論の自由」。しかし、同じことを語っているつもりでも...
新卒の営業職が仕事をやりたくない時期、最多は「5月」 ―― RevComm調査
新卒営業社員は5月に最初の「壁」を感じるようです。
「メタバース」でどうやってもうけるの? Meta(旧Facebook)が考える収益化への道
Metaの中核をなすメタバースプラットフォームのマネタイズ計画が明確になりつつある。高...