Ciscoは米国時間15日、IPSecベースのVPN 3000 Concentratorが抱える問題に関して、顧客に警告を発した。セキュリティの専門家は、これを「比較的軽微なセキュリティの問題」と呼んでいる。LinuxとMicrosoftの両バージョンのIPSecクライアントにあるこの問題は、デジタル証明ではなくグループパスワードで認証するよう顧客がVPNコンセントレータを設定していると発生するもの。
グループパスワードを認証で使う場合は、暗号化されているのが普通だ。ところが、VPN 3000 Concentratorのクライアントではパスワードをメモリから取り出し、Ciscoのソフトウェアクライアントを搭載したデバイスのユーザーなら、だれでもこれを見られてしまうことにセキュリティの専門家が気付いた。
グループパスワードを知り得た場合、これを利用して接続を乗っ取ることや、これを認証時に事前共有キーとして利用し、機密性の高い情報を入手することができてしまう。
一般に、グループパスワードによる保護は、デジタル証明を使ってユーザーを検証する公開キーインフラ(PKI)などのほかの認証手法より安全度が低いと考えられている。Ciscoは自社の出したセキュリティ警告の中で、クライアントの問題はソフトウェアの新リリースで修正すると述べており、当分の間はPKIで代用するよう顧客に呼びかけている。
デンマークのコペンハーゲンに本社を置くセキュリティベンダーのSecuniaでは、この脆弱性に対するセキュリティ速報を出し、比較的重要度の低いセキュリティ問題だとしている。
SecuniaのCTO(最高技術責任者)Thomas Kristensenは、「これはCiscoのユーザーにとって比較的重要度の低い問題だ。顧客の大半はおそらくPKIを使っているので、多くの顧客に影響があるとは思わない」と語った。
VPNクライアントの脆弱性は、Ciscoがここ数週間で対処してきた複数のセキュリティ問題の1つに過ぎない。最も最近では、Lightweight Extensible Authentication Protocol(LEAP)を採用した無線LAN製品にある脆弱性に関して顧客に通知していた。この脆弱性は、ハッカーがいわゆる辞書攻撃を仕掛けてパスワードを推測し易くしてしまうものだ。また同社は先週、Wireless LAN Solution EngineやHosting Solution Engine内部にプリセットされたユーザー名とパスワードを使うと、攻撃者がこの無線LAN管理機器を完全にコントロールできるようになってしまうとしていた。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向け に編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス