2020年8月25日

【VPN暗証番号流出】国内38社に不正接続

※テレワーク、VPN暗証番号流出　国内38社に不正接続／2020年8月24日／日経新聞

日立化成や住友林業など国内の38社が不正アクセスを受け、テレワークに欠かせない社外接続の暗証番号が流出した恐れがあることが分かった。（中略）

日本経済新聞が入手した被害企業リストには、日立化成や住友林業、ゼンショーホールディングス、オンキヨーの名前が挙がっている。医薬品製造の全薬工業、エネルギー関連の岩谷産業、電力機器のダイヘン、自動車総連も含まれていた。

※ここまで

少し大きめのインシデントです。

続報を待ちたいと思います。

【追記／続報】

※VPN欠陥つくサイバー攻撃　国内外900社の情報流出／2020年8月25日追記／朝日新聞

被害に遭った企業などは、米パルス・セキュア社のVPN機器を利用していたとみられる。同社は昨年春、製品に外部からのサイバー攻撃で情報が流出するおそれがある欠陥が見つかったとして、修正プログラムを公開。更新するよう求めていた。今回流出が確認されたのは、更新前の装置から盗まれた情報とみられる。

※ここまで

※パッチ未適用のパルスセキュア社VPN、日本企業46社のIPアドレスがさらされる／2020年8月26日追記／日経xtech

リストには世界全体で900台超の機器に振られたIPアドレスが掲載され、日本企業46社が運用する57台分が含まれることを確認したという。不正侵入に使われる恐れがあり、パルスセキュア日本法人は個別に連絡を取りながら早急なパッチ適用を呼びかけている。

※ここまで

以下、JPCERT-CCによる脆弱性対策と確認についてのご案内ページになります。ご確認をお願い申し上げます。

Pulse Connect Secure の脆弱性への対策や侵害有無などの確認を／JPCERT-CC

※2020年8月26日追記