警察庁内端末不正アクセスと5万件の脆弱なVPNホストの公開についてまとめてみた（転載）

警察庁内端末不正アクセスと5万件の脆弱なVPNホストの公開についてまとめてみた

警察庁は2020年11月27日、庁内の端末が1年以上前から不正アクセスを受けていたことを発表しました。また同時期に公開された脆弱なVPN機器リストについても併せてここでまとめます。

VPNのパスワードが漏れた可能性

不正アクセスが確認されたのは警察庁情報通信局のノートPC1台。業務物品の手配を行う専用端末として利用されていたもの。
ノートPCは他のシステムとは接続されておらず、警察庁は情報流出の可能性は低いと判断。不正アクセスが行われたタイミングでは端末に情報保管を行っていなかった。
複数のIPアドレスから2019年8月から2020年11月中旬まで合計46回の不正アクセスが行われていた。*1
ノートPCからインターネット接続を行う際にVPN機器を利用。このVPNのパスワードが第三者に利用された可能性がある。*2

警視庁からの情報提供を受け発覚

2020年11月25日に警視庁から「不正アクセスを受けているのではないか」といった情報提供を受け発覚。
警察庁は警視庁に被害を申告した。*3

同時期に脆弱なVPNホスト5万件が流通

警察庁の不正アクセス被害の原因となったVPN機器が具体的に何かといった情報は発表、報道されていないが、同時期にFortinet社製機器の脆弱性を影響を受けるリストが公開されていた。
2020年11月19日にハッキングフォーラム上に投稿されたもの*4で、CVE-2018-13379の影響を受けるリストとして49,577件の攻撃コードが含まれたURLが列挙されていた。
その後同フォーラム上ではコピーしたとみられるファイルや不正アクセスを行い実際にシステムファイルを取得したとされるアーカイブも流通している。このアーカイブにはVPN機器で利用するパスワードが含まれている可能性がある。アーカイブには49,562個のセッションデータとみられるファイルが含まれていたことから、リストに列挙された大半の機器に脆弱性が残っている（残っていた）可能性がある。*5
リスト公開の動きを受け、JPCERT/CCも2020年11月27日にパスワード変更対応などの呼びかけを行っている。脆弱性情報の公開から1年以上が経過しており、対象バージョン(かつSSL VPN機能が有効)に該当する場合、侵害事実の確認を含めた調査を行うことが推奨される。

約5万件のリストが流通

CVE-2018-13379って何？

CVE-2018-13379はFortinet社FortiOSのSSL VPN機能の脆弱性で、2019年夏に注目された複数のVPN機器の脆弱性の1つ。

脆弱性は今回新たに判明したものではなく、2018年12月にDEVCORE Security Research TeamのMeh Chang氏、Orange Tsai氏により発見されたもの。Forinet社への報告後に脆弱性への対応が行われ、2019年5月24日に修正バージョンが公開されている。その後、2019年8月の研究調査発表で脆弱性の実証コードを含む詳細情報が公開された。
パス・トラバーサルの脆弱性で、機器の任意のファイルを認証無しに取得できる。この脆弱性を使い機器上に保管されたセッションデータファイルを取得し、機器の仕様でこのファイルに平文のパスワード文字列が含まれているため、盗んだ情報を使いVPNアカウントが侵害される恐れがある。

発見者による脆弱性デモ動画

リストには警察庁のIPアドレスも存在

このリストには国内に設置されたとみられる機器が多数含まれていた。piyokangoはリスト全体の1割（約5400件）が国内のIPアドレスであることを確認している。*6。この内、確認できた組織名は600件以上で、大学などの教育関連や航空関連、独法などの組織名も含まれていた。

辻さんの統計ツイート

Fortinet製SSL-VPNの脆弱性（CVE-2018-13379）を利用した攻撃結果のリストがリークされていますが、そのリストに掲載されているIPアドレスから国を判別してグラフにしてみたところJPは全体の11%ほどでした。 pic.twitter.com/sKC3qxIDH1
— 辻伸弘 (nobuhiro tsuji) (@ntsuji) 2020年11月28日