最新の脆弱性だけじゃない FortinetのVPN製品に潜む「古い脅威」とは：FortinetのVPNに「緊急」の脆弱性【後編】

ユーザー企業が対処しなければならないのは、IT製品の「最新の脆弱性」だけではない。FortinetのVPN製品を利用する際に注意が必要な「古い脅威」とは何か。

[Arielle Waldman，TechTarget]

　2022年12月、セキュリティベンダーFortinetのVPN（仮想プライベートネットワーク）製品で発見された深刻な脆弱（ぜいじゃく）性「CVE-2022-42475」。米国の共通脆弱性評価システムCVSS（Common Vulnerability Scoring System）では、深刻度が最も高い「緊急」（スコア9.3）と評価されている。ユーザー企業はどのような対策を講じるべきなのか。

コロナ禍で狙われるVPN　古い脆弱性も要注意

併せて読みたいお薦め記事

連載：FortinetのVPNに「緊急」の脆弱性

• 前編：FortinetのVPN製品に「バッファオーバーフロー」の脆弱性　どう対処すべきか

企業は脆弱性対策が欠かせない

• 新発見の脆弱性どころか「古い脆弱性」が危ない当然の理由
• Avastセキュリティソフトの無効化攻撃を招いた「脆弱性」の正体とは？

　CVE-2022-42475についていち早く報じたのは、米TechTargetの姉妹サイトである仏Le Mag ITだ。2022年12月12日（現地時間、以下同じ）、CVE-2022-42475は未修正のため簡単に悪用でき、攻撃者が標的デバイスを完全に制御できる恐れがあると警告した。

　2022年12月9日、CVE-2022-42475の存在を指摘したフランスのセキュリティベンダーOlympe Cyberdefenseはユーザー企業に対し、「必須ではない場合は、VPN機能を無効にする」ことを推奨した。その後、Fortinetによるパッチ（ソフトウェア修正版）の公開を受け、パッチの適用を促した。

　米TechTargetの取材に対し、セキュリティベンダーTenableの上級研究員エンジニアを務めるクレア・ティルズ氏は、Olympe Cyberdefenseが最初にCVE-2022-42475の存在を指摘してからFortinetが情報を公開するまで「3日間のタイムラグがあった」と説明した。

　ティルズ氏によれば、FortinetのVPN製品は以前から狙われ、米連邦捜査局（FBI）や米国のサイバーセキュリティインフラストラクチャセキュリティ庁（CISA）が2021年、FortinetのVPN製品の脆弱性に関する情報を公開していた。国家が関与するとみられるサイバー犯罪集団が、こうした古い脆弱性を悪用し続けているとティルズ氏は言う。そのためユーザー企業はCVE-2022-42475のパッチ適用はもちろん、さまざまな脅威に対処する必要がある。

　近年、VPNを標的とした攻撃が広がる傾向にある。新型コロナウイルス感染症（COVID-19）のパンデミック（世界的大流行）でテレワークが一般的になった2020年以来、複数の国の政府機関やセキュリティ専門家が、VPNを狙った攻撃について注意を呼び掛けている。FortinetのVPN製品には2022年10月にも重大な脆弱性が発見され、攻撃に悪用されていたことも分かった。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。