VPN認証情報流出報道の影響は?
こんばんは。ここ最近、VPN認証情報が流出して、38社に影響がという報道がありました。こちらについて少々書いてみることにします。以下は日本経済新聞の記事からです。
パルスセキュア社のVPN装置を使用している組織のユーザ情報が漏洩した疑いがあるという報道です。「パルスセキュアが悪い」というような論調も目にしたこともありましたが、他の記事や情報も合わせて追っていると、1年前に同社が公表した脆弱性に対応するパッチを当てていなかったことが原因ではないかと言われています。
VPN装置ですから、特にセキュリティに関しては、最新の注意が払われていて然るべきです。動作検証もあるでしょうから、パッチがリリースされた当日にパッチを当てるということは考えにくいです。
ただ、数日~1・2週間のタイムラグではなく、1年前のパッチを当てていなかったというのはアウトなのではないでしょうか。まさかとは思いますが、導入後のままネットワーク機器の管理が放置されている、あるいはベンダ任せでほったらかしというようなことはなかったでしょうか。普段使われてなくて、コロナ禍の影響で慌ててテレワーク対応を迫られ、セキュリティホールそのまま放置の状態で運用を開始してしまった…というようなシナリオではないかと推測しています。
少なくともセキュリティパッチはちゃんと当てておきましょうねというお話ではあります。(このあたりの話は改めて書いてみようかと)