2020年8月下旬、国内企業が使うVPN(仮想私設網)製品からパスワードなどが流出したと報じられ話題になった。国内のセキュリティー組織であるJPCERTコーディネーションセンター(JPCERT/CC)も情報流出を確認。報道された情報と同一かまでは確認できなかったものの、国内に割り当てられたIPアドレスがおよそ90件含まれていたという。 攻撃者はVPN製品の脆弱性を悪用して情報を盗んだと考えられる。どの脆弱性が悪用されたのか、どう流出したのか、流出した企業はどうすればよいのか。真相と対策を探った。 悪用が容易な脆弱性 脆弱性を悪用されたのは、米Pulse Secure(パルスセキュア)のVPN製品「Pulse Connect Secure」とみられる。脆弱性の識別番号は「CVE-2019-11510」である。 この脆弱性の特徴は、悪用が容易な点にある。細工を施したデータを該当のVPN製品に送