警察庁内端末不正アクセスと5万件の脆弱なVPNホストの公開についてまとめてみた - piyolog

piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

警察庁内端末不正アクセスと5万件の脆弱なVPNホストの公開についてまとめてみた

不正アクセス脆弱性まとめ

警察庁は2020年11月27日、庁内の端末が1年以上前から不正アクセスを受けていたことを発表しました。また同時期に公開された脆弱なVPN機器リストについても併せてここでまとめます。

VPNのパスワードが漏れた可能性

不正アクセスが確認されたのは警察庁情報通信局のノートPC1台。業務物品の手配を行う専用端末として利用されていたもの。
ノートPCは他のシステムとは接続されておらず、警察庁は情報流出の可能性は低いと判断。不正アクセスが行われたタイミングでは端末に情報保管を行っていなかった。
複数のIPアドレスから2019年8月から2020年11月中旬まで合計46回の不正アクセスが行われていた。*1
ノートPCからインターネット接続を行う際にVPN機器を利用。このVPNのパスワードが第三者に利用された可能性がある。*2

警視庁からの情報提供を受け発覚

2020年11月25日に警視庁から「不正アクセスを受けているのではないか」といった情報提供を受け発覚。
警察庁は警視庁に被害を申告した。*3

同時期に脆弱なVPNホスト5万件が流通

警察庁の不正アクセス被害の原因となったVPN機器が具体的に何かといった情報は発表、報道されていないが、同時期にFortinet社製機器の脆弱性を影響を受けるリストが公開されていた。
2020年11月19日にハッキングフォーラム上に投稿されたもの*4で、CVE-2018-13379の影響を受けるリストとして49,577件の攻撃コードが含まれたURLが列挙されていた。
その後同フォーラム上ではコピーしたとみられるファイルや不正アクセスを行い実際にシステムファイルを取得したとされるアーカイブも流通している。このアーカイブにはVPN機器で利用するパスワードが含まれている可能性がある。アーカイブには49,562個のセッションデータとみられるファイルが含まれていたことから、リストに列挙された大半の機器に脆弱性が残っている（残っていた）可能性がある。*5
リスト公開の動きを受け、JPCERT/CCも2020年11月27日にパスワード変更対応などの呼びかけを行っている。脆弱性情報の公開から1年以上が経過しており、対象バージョン(かつSSL VPN機能が有効)に該当する場合、侵害事実の確認を含めた調査を行うことが推奨される。

f:id:piyokango:20201129070732p:plain — 約5万件のリストが流通

CVE-2018-13379って何？

CVE-2018-13379はFortinet社FortiOSのSSL VPN機能の脆弱性で、2019年夏に注目された複数のVPN機器の脆弱性の1つ。

piyolog.hatenadiary.jp

脆弱性は今回新たに判明したものではなく、2018年12月にDEVCORE Security Research TeamのMeh Chang氏、Orange Tsai氏により発見されたもの。Forinet社への報告後に脆弱性への対応が行われ、2019年5月24日に修正バージョンが公開されている。その後、2019年8月の研究調査発表で脆弱性の実証コードを含む詳細情報が公開された。
パス・トラバーサルの脆弱性で、機器の任意のファイルを認証無しに取得できる。この脆弱性を使い機器上に保管されたセッションデータファイルを取得し、機器の仕様でこのファイルに平文のパスワード文字列が含まれているため、盗んだ情報を使いVPNアカウントが侵害される恐れがある。

発見者による脆弱性デモ動画
www.youtube.com

リストには警察庁のIPアドレスも存在

このリストには国内に設置されたとみられる機器が多数含まれていた。piyokangoはリスト全体の1割が国内のIPアドレスであることを確認している。この内、確認できた組織名は600件以上で、大学などの教育関連や航空関連、独法などの組織名も含まれていた。

f:id:piyokango:20201130135046p:plain — IPの国別件数は日本はアメリカにつぎ2番目に多い

リストには警察庁のIPアドレスが含まれていたとする報告もある。Shodanに残っていた情報によれば、証明書にCN=support/emailAddress=support@fortinet.comの文字列が含まれていた。

f:id:piyokango:20201130061546p:plain — リストに含まれていた警察庁のIPアドレス

国内600組織にサイバー攻撃と報道

共同通信によれば次の組織で被害が出ていると報じられた。*6

警察庁
政府観光局
愛知県東郷町役場 12月1日の中日新聞報道について
岐阜県庁
佐賀県伊万里市役所１２月１日のテレワーク機器の欠陥に関する新聞報道について
リクルート
日新製糖 [PDF] 当社の社内システムに対しての不正アクセスについて
[PDF] 当社の社内システムに対しての不正アクセスについて（続報）
ディーカレット当社に関する一部報道について
札幌大学 VPN（仮想私設網）へサイバー攻撃に関する報道について（第1報）
VPN(仮想私設網)へサイバー攻撃に関する報道について(第2報)
- システム増強まで1週間程度機器利用停止（授業等への影響無し）、パスワード変更を指示と報道 *7
福井工業大学 VPN(仮想私設網)へのサイバー攻撃について
これ以外にホテル、セキュリティ企業、病院も含まれていた。
文部科学省は11月30日までに21の組織に注意喚起を行っている。

内閣サイバーセキュリティセンターが注意喚起を発出

[PDF] Fortinet製VPNの脆弱性(CVE-2018-13379)に関する重要インフラ事業者等についての注意喚起の発出について
2020年12月3日付で所轄官庁に対して注意喚起を発出。
NISCの分析により、重要インフラ事業者等の関連VPN装置のホスト数は4,954IPアドレス、218事業者が確認された。

更新履歴

2020年11月30日 AM 新規作成。
2020年11月30日 PM リストに含まれていた国別上位20のグラフを追加。
2020年12月1日 PM 共同通信記事を追記。
2020年12月5日 AM NISCの注意喚起を追記。
2020年12月26日 AM 被害企業のリリースを追加。

*1:警察庁の端末に不正アクセス　1年超で46回、気づかず,日本経済新聞,2020年11月27日

*2:警察庁の端末1台に外部から不正アクセス46回　情報流出は確認されず,毎日新聞,2020年11月27日

*3:警察庁端末に不正アクセス　計４６回、１年超気付かず―今月発覚、情報流出なし,時事通信,2020年11月27日

*4:最初の投稿は既に削除されている。投稿者のアバターやHNも変更されている。

*5:行為が行われた時期は不明

*6:国内６００組織にサイバー攻撃　テレワーク機器に欠陥、岐阜県庁など被害,中日新聞,2020年12月1日

*7:テレワーク当面中止　札大、サイバー攻撃受け,2020年12月2日,北海道新聞