脆弱性情報からVPN機器のメーカーを調べてみる【FortiGate/Fortinet社】

病院のSEとして10年以上働いている@whitefox21seです。

▼Twitterで最新記事やアクセスランキングをツイートしてます。こちらもよろしくお願いします！
Follow @whitefox21se

ここ最近で、病院がVPN経由でのランサムウェア攻撃を受けていることは周知のとおりです。厚労省も病院に対し、サイバーセキュリティ対策に関する調査を急遽行うなど、医療機関でのVPN対策が急務になってきました。「うちは大丈夫なのか？」と不安になっている方もいるでしょう。

いっぽうで、そんなことを急に言われても何から手を付ければいいのか分からない、という方もいるはず。そこで役に立つのが、さまざまなネットワーク機器の脆弱性情報を発出しているJPCERTやIPAのサイトです。そこでこの記事では、それらのサイトに掲載された脆弱性情報から、普段あまり触れることがないVPN機器のメーカーや種類について調べて、少しでも知識を身に着けたいと思います。

ぶっちゃけ今まで脆弱性情報なんて気にしてなかったけど、ちょっとは気にしてみようか、と思ってもらえたら嬉しいです。

それってお前のことだよな。

すいません。白状します・・・

医療情報技師の方ならご存知かと思いますが、サイバーセキュリティ対策が盛り込まれた改正医療法が発令され、令和5年4月から施行されることになりました。その内容は次のとおりとなっています。

医療法施行規則の一部を改正する省令

病院、診療所又は助産所の管理者は、医療の提供に著しい支障を及ぼすおそれがないように、サイバーセキュリティ（サイバーセキュリティ基本法（平成二十六年法律第百四号）第二条に規定するサイバーセキュリティをいう。）を確保するために必要な措置を講じなければならない。

インターネット版官報　令和 5年3月10日　本紙

（定義）
第二条　この法律において「サイバーセキュリティ」とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式（以下この条において「電磁的方式」という。）により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置（情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体（以下「電磁的記録媒体」という。）を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む。）が講じられ、その状態が適切に維持管理されていることをいう。

サイバーセキュリティ基本法 | e-Gov法令検索

具体的な対策は掲げられていませんが、サイバーセキュリティ確保が医療法上の義務となりましたので、今まで以上に脆弱性対策にアンテナを張る必要があると思っています。

JPCERTやIPAは、脆弱性の情報をWebサイトやSNSでスピーディーに知らせてくれます。速やかに情報をキャッチできるよう、ブックマークやフォローしておくことをおすすめします！

▼IPA公式サイト

https://www.ipa.go.jp/security/vuln/documents/index.html

▼IPA公式ツイッター

https://twitter.com/ICATalerts/

▼JPCERT公式サイト

https://www.jpcert.or.jp/

▼JPCERTツイッター

https://twitter.com/jpcert

調査対象の脆弱性情報
企業情報：Fortinet
製品情報：FortiGate
脆弱性情報：CVE-2022-42475

◆読者の方へお願い◆

院内SE（医療情報技師）の知名度向上を目指し、ブログを定期更新中！
読者の応援が励みになります。記事を読むたびに、「人気ブログランキング」または「にほんブログ村」ボタンのクリックをお願いします！
※クリックすると私に票が入ります。押すだけなら無料（笑）！情報が取られる等はありませんので、ぜひ応援よろしくお願いしますm(_ _)m

システムエンジニアランキング

にほんブログ村

調査対象の脆弱性情報

今回取り上げるのは、JPCERTにて下記の通り脆弱性が指摘されている、Fortinet社のFortiGateです。

www.jpcert.or.jp

企業情報：Fortinet

Fortinetとは、アメリカに本社を置く大手UTM（Unified Threat Management：統合脅威管理）機器メーカー。UTMとはファイアウォールやウイルス対策などを1台で担うネットワーク機器のことで、VPN機能も併せ持ちます。日本法人として、東京の六本木にフォーティネットジャパン合同会社があります。

UTMはVPNを構築するときによく使われる機器。VPNを構築するにはどうしても通路として穴を開けないといけないので、侵入対策やウイルス対策をセットで考えなくてはなりません。それらを個別に導入するよりも1台でまかなうほうが管理上優れているため、VPNを前提としたネットワークを組むときに重宝する、というわけです。

▼代表的商品のFortiGate 60

エントリーレベル次世代ファイアウォールFortiGate｜ネットワークセキュリティのフォーティネット

製品情報：FortiGate

FortiGateは、Fortinet社が提供する主力UTMシリーズ。UTMでは世界一のシェアを誇り、病院だけでなく様々な企業でも使われています。

ランサムウェア攻撃を受けたつるぎ町立半田病院や大阪急性期・総合医療センターもこのFortiGateを採用していました。ニュースだけを見ればFortiGateが粗悪品のように聞こえるかもしれませんが、世界一のシェアを誇る製品なだけに標的にされやすかった、という背景があります。

FortiGateを制御するファームウェアがFortiOSです。半田病院の報告書によると、2018年に明らかになったFortiOSの脆弱性（識別番号：CVE-2018-13379）への対処ができていなかったために侵入を許してしまった可能性がある、としています。

半田病院の報告書は読みましたか？つるぎ町立半田病院のランサムウェア被害報告書はもう読みましたか？　100ページに及ぶ調査報告書がホームページに公開されています。技術的な面だけでなく、情シス担当の認識不足や病院の予算都合など、本来外部に出したくない情報までも被害の要因として赤裸々に報告しています。いち病院がこのような報告書をまとめるのはあまり見られず、貴重な資料となりますので、情シス担当であれば一度は目を通しておくのをオススメします。

www.handa-hospital.jp

▼FortiGateについて勉強したい方は、専門書がおすすめ。知識を深めたい方は、一冊持っていても損はないと思います。

FortiGateで始める企業ネットワークセキュリティ [ 左門至峰 ]

posted with カエレバ

楽天市場

Amazon

Yahooショッピング

でも、FortiGateなんてあんまり聞かない名前だし、アメリカの会社で不安だなぁ。

大塚商会が販売パートナーとして窓口になっていますよ。

www.otsuka-shokai.co.jp

大塚商会は古くからFortinetの販売を手掛けており、保守やリモート監視をセットにしたプランを提供しています。機器はアメリカの会社ですが日本の販売会社を通じて契約できるので、法人契約しやすいはずです。

なお大塚商会では、14日間FortiGateを試せる無料体験サービスを実施しています。FortiGateを使ったVPNがどのようなものか試してみたい方におすすめです。

https://www.otsuka-shokai.co.jp/products/security/internet/firewall-utm/fortigate.html

CVE-***-***とは？

ところで、JPCERTやIPAのサイトを見ているとCVE-***-***という番号が頻繁に登場します。これは世界共通で使われる、脆弱性情報の識別番号です。

ネットワーク機器は製造国だけでなく世界中で広く使われるため、脆弱性情報に一意の識別番号を付けることで情報を共有しやすくしているのです。このため、製造メーカーを問わず、このCVE-***-***がよく使われます。なお、*印の意味は次のとおりです。

CVE-西暦-連番

例えば「CVE-2018-13379」なら、2018年に明らかになった13379番目の脆弱性、という意味になります。

共通脆弱性識別子CVE概説

共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)(*1)は、個別製品中の脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社(*2)が採番している識別子です。脆弱性検査ツールや脆弱性対策情報提供サービスの多くがCVEを利用しています。

共通脆弱性識別子CVE概説：IPA 独立行政法人情報処理推進機構

なるほどねー。これは分かりやすい。

万一事故にあったときも、脆弱性情報を関係者で共有しやすいですよね。

ネットワークの知識を基礎からしっかり勉強したい、という方におすすめなのがこちらの本。2007年に出版された古いものですが、ネットワークがなぜつながるのか、という基礎的な質問をやさしく解説した、Amazonレビュー★4.4のベストセラーです。ITパスポートレベルの基礎的なパソコン知識があれば、それほどつっかえずに読めるのではないでしょうか。（やや専門用語が多めです）

ネットワークはなぜつながるのか第2版

posted with ヨメレバ

戸根勤/日経network編集部日経BP 2007年04月

楽天ブックス

Amazon

Kindle

社会人になると仕事をこなすことで一杯になり、教科書的なものを頭から読み込む機会は減ってしまいますが、たまには基礎のおさらいをしておきたいものです。

例えば大阪急性期・総合医療センターのランサムウェア被害では、病院本体のセキュリティ対策は万全だったのに、連結する給食システムのVPN機器から侵入を許してしまいました。ネットワークがつながる原理を理解し、ネットワーク構成全体を俯瞰したセキュリティ対策を取らなければならない、ということを分からせてくれた良きケーススタディでした。ちょっとしたスキマ時間にでも、基礎の振り返りをしてみてはいかがでしょうか。

脆弱性情報：CVE-2022-42475

では今回のソースで取り上げた脆弱性情報を見ていきます。2022年に報告された脆弱性情報です。

www.jpcert.or.jp

見るべきところは次の3ヶ所です。

I.概要

2022年12月12日（現地時間）、FortinetはFortiOS SSL-VPNにおけるヒープベースのバッファーオーバーフローの脆弱性（CVE-2022-42475）に関するアドバイザリ（FG-IR-22-398）を公開しました。本脆弱性が悪用されると、認証されていない遠隔の第三者が、細工したリクエストを送信し、任意のコードやコマンドを実行する可能性があります。

Fortinet

FortiOS - heap-based buffer overflow in sslvpnd

https://www.fortiguard.com/psirt/FG-IR-22-398

Fortinetは、本脆弱性を悪用する攻撃を確認しています。影響を受ける製品を利用している場合、Fortinetが提供する最新の情報をご確認の上、対策の適用に加え、脆弱性を悪用する攻撃の被害を受けていないか確認するための速やかな調査実施を推奨します。

VPNではあらかじめ認証されたユーザーのみが閉域ネットワークへ進入できるわけですが、認証されていないユーザーがこの脆弱性を悪用して何らかの攻撃を仕掛け、侵入を許す可能性がある、ということです。

おだやかな話じゃないな。

まずはこの概要を読んで、脆弱性の中身を調べたほうがよいですね。

しかも、すでにこの脆弱性を悪用した攻撃が確認されているとのことなので、もし該当するようなら早めに対処するのが望ましいですね。

II.対象

対象となる製品およびバージョンは次のとおりです。

- FortiOS バージョン 7.2.0から7.2.2まで

- FortiOS バージョン 7.0.0から7.0.8まで

- FortiOS バージョン 6.4.0から6.4.10まで

- FortiOS バージョン 6.2.0から6.2.11まで

- FortiOS バージョン 6.0.0から6.0.15まで

- FortiOS バージョン 5.6.0から5.6.14まで

- FortiOS バージョン 5.4.0から5.4.13まで

- FortiOS バージョン 5.2.0から5.2.15まで

- FortiOS バージョン 5.0.0から5.0.14まで

- FortiOS-6K7K バージョン 7.0.0から7.0.7まで

- FortiOS-6K7K バージョン 6.4.0から6.4.9まで

- FortiOS-6K7K バージョン 6.2.0から6.2.11まで

- FortiOS-6K7K バージョン 6.0.0から6.0.14まで

FortiOSのバージョンがこれに該当するようなら、なるべく早めに次の「III.　対策」を講じるべき、ということになります。

しかし、FortiOSのバージョンなんて分からない、という方もいるでしょう。病院情報システムの管理体制によりますが、セキュリティの観点からVPN機器の型番やバージョン情報はベンダーが明らかにしていない場合もあります。上記の脆弱性番号CVE-2022-42475を連絡してあげると、すぐに伝わるでしょう。

パソコン知識を定期的にアップデートしたい方におすすめするのが、伝統と歴史ある「日経パソコン」。本屋では買えない、定期購読（月2回発行）のみのビジネス向けパソコン雑誌です。

▼画像をクリックすると、日経パソコンのサイトへ飛びます。

日経パソコンのサイトへ行く

記事の中身は初～中級者向けで、ITによる業務改革や仕事効率化などにフォーカスした内容が毎号特集されています。最近では私もパソコン雑誌を買い漁ることはなくなりましたが、昔の常識に囚われないよう、日経パソコンを購読して「最近ではこんなこともできるのか」と脳内をアップデートしています。

1冊638円とリーズナブルな価格。定期購読すれば家に届くので、買いに行く手間もなく楽チンですよ。

III.対策

Fortinetから本脆弱性を修正したバージョンへのアップグレードが推奨されています。修正済みバージョンの適用をご検討ください。

- FortiOS バージョン 7.2.3あるいはそれ以降

- FortiOS バージョン 7.0.9あるいはそれ以降

- FortiOS バージョン 6.4.11あるいはそれ以降

- FortiOS バージョン 6.2.12あるいはそれ以降

- FortiOS バージョン 6.0.16あるいはそれ以降

- FortiOS-6K7K バージョン 7.0.8あるいはそれ以降

- FortiOS-6K7K バージョン 6.4.10あるいはそれ以降

- FortiOS-6K7K バージョン 6.2.12あるいはそれ以降

- FortiOS-6K7K バージョン 6.0.15あるいはそれ以降

FortiOSのバージョンアップによってこの脆弱性は解決できる、ということです。対策方法はごくシンプルですね。

しかしバージョンアップのタイミングに注意しなくてはなりません。UTMの場合、病院情報システム全体を停止しなければならないケースもありますので、システムベンダーと相談しながらスケジュールを決めましょう。

余談ですが、ネットワーク機器は予備を用意しておくのが望ましいです。万が一故障した場合、予備と交換することでダウンタイムを最小限に抑えることが出来るからです。ただのLANハブとは違い、UTMの場合は設定作業が必要なため事前の準備が必要ですが、基幹機器が故障するとネットワーク全体が止まるおそれがあり、影響範囲が大きくなります。ぜひ一度、予備の在庫があるかチェックすることをおすすめします。

▼Amazonや楽天市場でも買うことができます。

FORTINET FORTIGATE 40F Next GEN FireWire 送料無料

posted with カエレバ

楽天市場

Amazon

Yahooショッピング

以上、Fortinet社のFortiGateについて調べてみました。

VPN機器メーカーや製品情報を知っておくと、システム入れ替え時に選択の幅が広がりますし、ランサムウェア被害を受けた病院の報告書を読んだり、ベンダーと会話したりするときにも役立ちます。ベンダーへ任せきりにしているところもあると思いますが、脆弱性情報は常に拾うようにし、サイバーセキュリティ対策について理解を深めていきたいな、と思うところです。

医療情報技師ならマストで持っておきたい資格が、基本情報技術者。医療情報技師検定試験の情報処理分野は実践で使う知識としては役不足なので、確かなIT知識をしっかり身に着けたいなら、やはりシステムエンジニアの登竜門といえる基本情報技術者です。

忙しい社会人が効率よく勉強するのにおすすめなのが、スマホで学べるオンライン講座STUDYING（スタディング）。動画で学べる基本講座やWebテキスト、問題集がギッシリ詰まった教材ラインナップ。学習と問題演習を繰り返し解いて知識を定着させていきます。この手の試験は、過去問をひたすら解いて解法パターンを身に着けるのが王道ですので、いかに問題をこなすかがカギ。分厚い過去問題集を持ち歩かなくても、いつでもどこでもスキマ時間を使って学習できるのは、忙しい社会人にピッタリですよね。

基本情報技術者講座 - スマホで学べる通信講座で資格を取得【スタディング】の公式サイトへ行く