FortinetのWindows VPNクライアントに深刻な脆弱性が存在し、中国の国家支援を受けた脅威アクター「BrazenBamboo」がこれを利用してログイン資格情報を盗む攻撃を実行していることが判明した。この攻撃には「DeepData」というマルウェアが使用され、プロセスメモリ内のJSONオブジェクトを復号化して情報を抽出し、攻撃者のサーバーへ送信する仕組みとなっている。
この脆弱性は2024年7月に発見され、Fortinetに報告されたものの、修正プログラムは未だ提供されていない。CVE番号も未割り当てで、脆弱性は放置されたままの状況である。世界中の組織が使用するFortinet VPNが狙われることで、企業ネットワークの不正侵入やランサムウェア攻撃のリスクが高まっている。
Volexityは、修正が行われるまでの間、VPNのアクセス制限や不審なログイン活動への注意を呼びかけている。企業や個人は早急な対応を求められる状況にある。
Fortinet VPNの脆弱性が生む危険なサイバー攻撃の実態
FortinetのWindows VPNクライアントに発見された脆弱性は、ユーザーのログイン資格情報を盗む攻撃の主要な足がかりとなっている。この脆弱性を利用する中国の脅威アクター「BrazenBamboo」は、「DeepData」というマルウェアを駆使し、プロセスメモリ内に保存されるデータを標的にしている。この手法は、ネットワーク侵入に必要な情報を効率的に収集することが可能であり、攻撃対象を選ばず、広範囲に悪影響を及ぼしている。
特に問題視されるのは、脆弱性の発見からFortinetが問題を認識するまでの時間の長さである。Volexityが2024年7月初旬に発見し報告したにもかかわらず、修正対応が取られていない現状は、攻撃が長期化するリスクを高めている。これは、サイバーセキュリティの分野における迅速な対応の重要性を改めて浮き彫りにする事例である。
一方で、脆弱性への対応が遅れる中、ユーザー側が取れる防衛策は限られている。VPNの使用制限やアクセスログの監視といった対策は短期的な抑止策にすぎず、根本的な問題解決には至らない。この状況は、攻撃を受けた企業や組織に多大なコストと労力を強いることになるだろう。
BrazenBambooのサイバー諜報活動の特徴と背景
BrazenBambooは、中国政府が関与しているとされる脅威アクターの一つである。彼らの攻撃は、高度な技術を駆使しながらも、目立たず長期間活動を続けることを特徴としている。使用するマルウェアファミリー「Lightspy」「DeepData」「DeepPost」は、情報収集に特化しており、破壊活動ではなく、主に諜報活動を目的としているとされる。
このような戦略は、北朝鮮などの破壊的なサイバー攻撃を行う国家支援グループとは対照的である。BrazenBambooは、潜在的な対立国のインフラや企業から価値のある情報を取得し、長期的な地政学的優位性を確保する狙いがあるとみられている。このような背景から、彼らの活動は極めて計画的で、組織化されていると考えられる。
この脅威に対抗するためには、単なる脆弱性の修正だけでなく、マルウェアの検知技術やネットワーク防御策の強化が必要である。また、国家間でのサイバーセキュリティ協力も重要であり、各国は情報共有を通じて脅威の早期発見と封じ込めを図るべきだろう。
Fortinetの対応の遅れが示すセキュリティ産業の課題
Fortinetが今回の脆弱性を把握していながら、迅速に修正プログラムを提供していない点は、セキュリティ産業全体の課題を浮き彫りにしている。セキュリティベンダーにとって、脆弱性の発見から対応までのスピードは信頼を保つ上で極めて重要だが、今回のケースはその信頼を損ねる結果となっている。
また、CVE番号の未割り当てという事実も、問題の周知や対応策の普及を妨げている。CVE番号は脆弱性の認知度を高め、セキュリティ業界全体での迅速な対策を促すための重要な指標である。それが欠如している状況は、同様の問題が再び起こるリスクを示唆しているといえる。
このような状況を踏まえると、企業はベンダー任せにせず、独自のセキュリティ対策を講じる必要がある。サードパーティの脆弱性スキャナーや独自のセキュリティ監査を導入することが、脅威を最小限に抑えるための現実的なアプローチである。また、産業界全体が迅速な対応を促進するための規範作りに取り組むことも不可欠だろう。