米国の国土安全保障省のサイバーセキュリティ部門が発行した警告によると、企業用のVPN(Virtual Private Networking、仮想非公開通信網)アプリケーションの一部には、セキュリティ関連のバグにより、遠方からアクセスした犯人が会社の内部的ネットワークに侵入できるものがある。
カーネギーメロン大学の脆弱性開示センターCERT/CCの一般公開開示を受けて米国時間4月12日には、国のCybersecurity and Infrastructure Security Agencyが警告を発行した。
Cisco、Palo Alto Networks、Pulse Secure、およびF5 Networks、計4社の作ったVPNアプリケーションは認証トークンとセッションクッキーをユーザーのコンピューターに不正に保存する。これらは消費者ユーザーがプライバシーを護るために従来から利用してきた消費者向けVPNアプリケーションではなく、遠方の社員らが会社のネットワーク上のリソースにアクセスできるために、通常は企業のITスタッフが設置する企業向けVPNアプリケーションだ。
これらのアプリケーションはユーザーのパスワードからトークンを作り出し、ユーザーのコンピューターに保存してユーザーをログイン状態に保ち、彼らが毎回パスワードを入力しなくてもよいようにする。しかしそのトークンが盗まれると、ユ
スポンサーリンク
米国土安全保障省が企業用VPNアプリケーションのセキュリティの欠陥を警告
IT起業ニュース
コメント