最新の脆弱性だけじゃない FortinetのVPN製品に潜む「古い脅威」とはFortinetのVPNに「緊急」の脆弱性【後編】

ユーザー企業が対処しなければならないのは、IT製品の「最新の脆弱性」だけではない。FortinetのVPN製品を利用する際に注意が必要な「古い脅威」とは何か。

2023年01月19日 05時00分 公開
[Arielle WaldmanTechTarget]

関連キーワード

VPN | 脆弱性 | セキュリティリスク


 2022年12月、セキュリティベンダーFortinetのVPN(仮想プライベートネットワーク)製品で発見された深刻な脆弱(ぜいじゃく)性「CVE-2022-42475」。米国の共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)では、深刻度が最も高い「緊急」(スコア9.3)と評価されている。ユーザー企業はどのような対策を講じるべきなのか。

コロナ禍で狙われるVPN 古い脆弱性も要注意

 CVE-2022-42475についていち早く報じたのは、米TechTargetの姉妹サイトである仏Le Mag ITだ。2022年12月12日(現地時間、以下同じ)、CVE-2022-42475は未修正のため簡単に悪用でき、攻撃者が標的デバイスを完全に制御できる恐れがあると警告した。

 2022年12月9日、CVE-2022-42475の存在を指摘したフランスのセキュリティベンダーOlympe Cyberdefenseはユーザー企業に対し、「必須ではない場合は、VPN機能を無効にする」ことを推奨した。その後、Fortinetによるパッチ(ソフトウェア修正版)の公開を受け、パッチの適用を促した。

 米TechTargetの取材に対し、セキュリティベンダーTenableの上級研究員エンジニアを務めるクレア・ティルズ氏は、Olympe Cyberdefenseが最初にCVE-2022-42475の存在を指摘してからFortinetが情報を公開するまで「3日間のタイムラグがあった」と説明した。

 ティルズ氏によれば、FortinetのVPN製品は以前から狙われ、米連邦捜査局(FBI)や米国のサイバーセキュリティインフラストラクチャセキュリティ庁(CISA)が2021年、FortinetのVPN製品の脆弱性に関する情報を公開していた。国家が関与するとみられるサイバー犯罪集団が、こうした古い脆弱性を悪用し続けているとティルズ氏は言う。そのためユーザー企業はCVE-2022-42475のパッチ適用はもちろん、さまざまな脅威に対処する必要がある。

 近年、VPNを標的とした攻撃が広がる傾向にある。新型コロナウイルス感染症(COVID-19)のパンデミック(世界的大流行)でテレワークが一般的になった2020年以来、複数の国の政府機関やセキュリティ専門家が、VPNを狙った攻撃について注意を呼び掛けている。FortinetのVPN製品には2022年10月にも重大な脆弱性が発見され、攻撃に悪用されていたことも分かった。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news099.jpg

CMOはつらいよ マッキンゼー調査で浮かび上がるAI時代の厳しめな業務実態
生成AI、研究開発、価格戦略……。慢性的なリソース不足の中でマーケターの業務範囲はま...

news017.jpg

「リンクレピュテーション」とは? SEO対策や注意点もわかりやすく解説
「リンクレピュテーションって何のこと?」「なぜ重要?」「リンクレピュテーションを意...

news213.jpg

MAツール「MoEngage」 DearOneが日本語版UI提供へ
NTTドコモの子会社であるDearOneは、AI搭載のMAツール「MoEngage」の日本語版を2025年1月...