FortiClientの脆弱性を悪用してDEEPDATA経由でVPN認証情報が盗まれる可能性があります

主なポイント

• 中国のハッカーグループ「BrazenBamboo」が、Fortinet社のVPNクライアントソフトウェア「FortiClient」の脆弱性を悪用し、ユーザーの認証情報を盗み出している
• この脆弱性は、Volexity社によって7月に発見され、Fortinet社に報告されたが、未だ修正されていない状況
• この脆弱性を悪用したマルウェア「DeepData」は、FortiClientのメモリ内に保存された認証情報を抽出し、攻撃者のサーバーに送信する

社会的影響

• 企業ネットワークへの不正アクセスが可能となり、機密情報の窃取などの深刻な被害が懸念される
• VPNを利用する企業や組織にとって、重大なセキュリティ上の脅威となる
• Fortinet社の信頼性や製品の安全性に対する疑問が生じる可能性がある

編集長の意見

この脆弱性は極めて深刻であり、迅速な修正が求められますが、まだこちらの修正プログラムはアップされていないということです。企業はVPNアクセスの制限や異常な認証活動のモニタリングなど、暫定的な対策を講じる必要があります。Fortinet社には、ユーザーの信頼を取り戻すため、早期の修正と情報開示が期待されます。また、このような重大な脆弱性の発見と報告を行ったVolexity社の対応も高く評価されるべきでしょう。日本では販売ベンダーからの情報はきていますか？大丈夫でしょうか？ Volexity社のHPでは詳しく報告されています。こういったAPTグループによる標的型攻撃の手口を理解することで、今後の対策に役立つ情報となると思います。

背景情報

• BrazenBambooは、Windows、macOS、iOS、Androidなどの様々なプラットフォームを対象とした高度なマルウェアを開発・展開する中国のハッカーグループ
• DeepDataは、BrazenBambooが使用する post-exploitation ツールで、複数のプラグインを使ってターゲットからデータを盗み出す
• DeepDataの最新バージョンには、FortiClientの脆弱性を悪用するプラグインが含まれている