最新の脆弱性だけじゃない FortinetのVPN製品に潜む「古い脅威」とはFortinetのVPNに「緊急」の脆弱性【後編】

ユーザー企業が対処しなければならないのは、IT製品の「最新の脆弱性」だけではない。FortinetのVPN製品を利用する際に注意が必要な「古い脅威」とは何か。

2023年01月19日 05時00分 公開
[Arielle WaldmanTechTarget]

関連キーワード

VPN | 脆弱性 | セキュリティリスク


 2022年12月、セキュリティベンダーFortinetのVPN(仮想プライベートネットワーク)製品で発見された深刻な脆弱(ぜいじゃく)性「CVE-2022-42475」。米国の共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)では、深刻度が最も高い「緊急」(スコア9.3)と評価されている。ユーザー企業はどのような対策を講じるべきなのか。

コロナ禍で狙われるVPN 古い脆弱性も要注意

 CVE-2022-42475についていち早く報じたのは、米TechTargetの姉妹サイトである仏Le Mag ITだ。2022年12月12日(現地時間、以下同じ)、CVE-2022-42475は未修正のため簡単に悪用でき、攻撃者が標的デバイスを完全に制御できる恐れがあると警告した。

 2022年12月9日、CVE-2022-42475の存在を指摘したフランスのセキュリティベンダーOlympe Cyberdefenseはユーザー企業に対し、「必須ではない場合は、VPN機能を無効にする」ことを推奨した。その後、Fortinetによるパッチ(ソフトウェア修正版)の公開を受け、パッチの適用を促した。

 米TechTargetの取材に対し、セキュリティベンダーTenableの上級研究員エンジニアを務めるクレア・ティルズ氏は、Olympe Cyberdefenseが最初にCVE-2022-42475の存在を指摘してからFortinetが情報を公開するまで「3日間のタイムラグがあった」と説明した。

 ティルズ氏によれば、FortinetのVPN製品は以前から狙われ、米連邦捜査局(FBI)や米国のサイバーセキュリティインフラストラクチャセキュリティ庁(CISA)が2021年、FortinetのVPN製品の脆弱性に関する情報を公開していた。国家が関与するとみられるサイバー犯罪集団が、こうした古い脆弱性を悪用し続けているとティルズ氏は言う。そのためユーザー企業はCVE-2022-42475のパッチ適用はもちろん、さまざまな脅威に対処する必要がある。

 近年、VPNを標的とした攻撃が広がる傾向にある。新型コロナウイルス感染症(COVID-19)のパンデミック(世界的大流行)でテレワークが一般的になった2020年以来、複数の国の政府機関やセキュリティ専門家が、VPNを狙った攻撃について注意を呼び掛けている。FortinetのVPN製品には2022年10月にも重大な脆弱性が発見され、攻撃に悪用されていたことも分かった。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news035.jpg

低迷するナイキやアディダスを猛追する「HOKA」の “破壊的”ブランディングとは?
ランナーの間で好感度が低迷しているNikeに対し、ディスラプター(破壊的企業)として取...

news051.jpg

新紙幣の発行、3社に1社が日本経済に「プラスの影響」と回答――帝国データバンク調査
20年ぶりの新紙幣発行は日本経済にどのような影響を及ぼすのでしょうか。帝国データバン...

news196.png

WPPとIBMが生成AIを活用したB2Bマーケティング領域で連携
IBMのビジネス向けAIおよびデータプラットフォームである「watsonx」の機能を「WPP Open...