すごい。脆弱だったパスワードそのものまで報告書に入れてある。入れる意味があるかは別として、すべてきちんと公開しようという姿勢がすばらしい。
”FortiGate(SSL-VPN)を経由した、正規VPNアカウントの認証情報を何らかの方法で突破した侵入であった。なお、ファームウエアは最新版”
temp/passwordレベルのザル管理で草。しかも管理者パスも123並みの弱さ。これで安全宣言は流石にフラグ
脆弱性や製品の問題ではなく、アカウント管理がまずかった。ブルートフォース対策の不備か。VPN認証にTOTPは必須。その後の掌握のされ方を見てもID管理が杜撰だったんだろうと推測。発表が具体的かつ詳細で好感が持てる
正直に発表しているようで好感。SSL-VPNの侵入が単純なパスワードが破られたという推定。パスワードだけだと複雑にしても危ない。
Forti関係なかった
ADって複数回パスワード間違えるとロックアウトするのがデフォ設定じゃなかったっけ?侵入されたパスワード結構長さはあるのでゆっくり攻撃されたか他の経路から漏れてない?
例示だから実際のところは分からないが、“password1msys1” とか “pw1mino01” でもパスワード強度が低いのか。かなりの回数を試行しないと突破できないと思われるが。
今後使う技術が変われば新しい脆弱性を抱えるのは避けようがないのに、今この時点の安全宣言をする意味なくねと思ってしまう
脆弱性云々だけではなく、Fortigateの SSL-VPNはもう使わない方が良い。FortigateのWAN側にSSL-VPNや管理インターフェースが開いていること自体がリスキー。Windows同様にFortigateは狙われている。FortigateでやるならIPsec-VPNで。
ガイバー攻撃
VPN管理不備、AD侵害、仮想化基盤侵害という昨今のセキュリティインシデントのハッピーセットみたいな事例。確かに単純なパスワードだけどオンライン攻撃(だよね?)で突破できるものだろうか。
“一時的な利用を目的として2025年4月10日に作成された当社正規VPNアカウントの悪用による侵入であると確認しました”” 非常に容易なIDとパスワードで作成されていました(例示:ID:temp PASS:password1msys1)”
すごくわかりやすくためになる報告書。断言するの技術者としてはやりたくないけど、この場合必要よね。
単語の選び方に素人感が漏れ出ていて不安。さらには4回も出てくる「データが搾取」は明らかに日本語として間違っているというか、これは「窃取」を読めないレベルの人々が書いたんだな…と思えて大変不安。大丈夫?
一部首をかしげるところもあるが、対策もしっかりしてるし、ちゃんと専門家の提案を受け入れてる。なによりopennessを讃えたい。ここまで開示できる会社、そうそうないよ
pw1mino01でも弱いの...
“非常に容易なIDとパスワードで作成されていました(例示:ID:temp PASS:password1msys1)”
“作成されたアカウントのパスワードの強度が低い (例示:ID:temp PASS:password1msys1)”
何度か出てくる"搾取"は"詐取"と言いたかったんだろうなぁ…IT関連だと"認識"の意味で"認証"と言っているのも良く見かけるし、発音が似てる用語の区別は難しい。
fortigateのssl-vpnか…
これでパスワード弱い扱いとなると、ちょっといろいろ考えないといけないな。
ID やドメイン名から判別できる単語、数字を使用していたから、predictable な composition になっていて、総合的に見て強度が低いという判断なのかな https://pages.nist.gov/800-63-4/sp800-63b/passwords
ぐえーこれはしんどいな。しかもまだ残りの240GB分流出する余地があるってことか。/新設される国家情報局にはこういう日本のダメセキュリティ企業に抜き打ちでハッキング仕掛けて指摘&是正するよう促せないかね。
そこまで脆弱なパスワードに思えないが、パスワード間違いの回数制限がないのかな?
サイバー攻撃に関する最終報告 兼 安全宣言
すごい。脆弱だったパスワードそのものまで報告書に入れてある。入れる意味があるかは別として、すべてきちんと公開しようという姿勢がすばらしい。
”FortiGate(SSL-VPN)を経由した、正規VPNアカウントの認証情報を何らかの方法で突破した侵入であった。なお、ファームウエアは最新版”
temp/passwordレベルのザル管理で草。しかも管理者パスも123並みの弱さ。これで安全宣言は流石にフラグ
脆弱性や製品の問題ではなく、アカウント管理がまずかった。ブルートフォース対策の不備か。VPN認証にTOTPは必須。その後の掌握のされ方を見てもID管理が杜撰だったんだろうと推測。発表が具体的かつ詳細で好感が持てる
正直に発表しているようで好感。SSL-VPNの侵入が単純なパスワードが破られたという推定。パスワードだけだと複雑にしても危ない。
Forti関係なかった
ADって複数回パスワード間違えるとロックアウトするのがデフォ設定じゃなかったっけ?侵入されたパスワード結構長さはあるのでゆっくり攻撃されたか他の経路から漏れてない?
例示だから実際のところは分からないが、“password1msys1” とか “pw1mino01” でもパスワード強度が低いのか。かなりの回数を試行しないと突破できないと思われるが。
今後使う技術が変われば新しい脆弱性を抱えるのは避けようがないのに、今この時点の安全宣言をする意味なくねと思ってしまう
脆弱性云々だけではなく、Fortigateの SSL-VPNはもう使わない方が良い。FortigateのWAN側にSSL-VPNや管理インターフェースが開いていること自体がリスキー。Windows同様にFortigateは狙われている。FortigateでやるならIPsec-VPNで。
ガイバー攻撃
VPN管理不備、AD侵害、仮想化基盤侵害という昨今のセキュリティインシデントのハッピーセットみたいな事例。確かに単純なパスワードだけどオンライン攻撃(だよね?)で突破できるものだろうか。
“一時的な利用を目的として2025年4月10日に作成された当社正規VPNアカウントの悪用による侵入であると確認しました”” 非常に容易なIDとパスワードで作成されていました(例示:ID:temp PASS:password1msys1)”
すごくわかりやすくためになる報告書。断言するの技術者としてはやりたくないけど、この場合必要よね。
単語の選び方に素人感が漏れ出ていて不安。さらには4回も出てくる「データが搾取」は明らかに日本語として間違っているというか、これは「窃取」を読めないレベルの人々が書いたんだな…と思えて大変不安。大丈夫?
一部首をかしげるところもあるが、対策もしっかりしてるし、ちゃんと専門家の提案を受け入れてる。なによりopennessを讃えたい。ここまで開示できる会社、そうそうないよ
pw1mino01でも弱いの...
“非常に容易なIDとパスワードで作成されていました(例示:ID:temp PASS:password1msys1)”
“作成されたアカウントのパスワードの強度が低い (例示:ID:temp PASS:password1msys1)”
何度か出てくる"搾取"は"詐取"と言いたかったんだろうなぁ…IT関連だと"認識"の意味で"認証"と言っているのも良く見かけるし、発音が似てる用語の区別は難しい。
fortigateのssl-vpnか…
これでパスワード弱い扱いとなると、ちょっといろいろ考えないといけないな。
ID やドメイン名から判別できる単語、数字を使用していたから、predictable な composition になっていて、総合的に見て強度が低いという判断なのかな https://pages.nist.gov/800-63-4/sp800-63b/passwords
ぐえーこれはしんどいな。しかもまだ残りの240GB分流出する余地があるってことか。/新設される国家情報局にはこういう日本のダメセキュリティ企業に抜き打ちでハッキング仕掛けて指摘&是正するよう促せないかね。
そこまで脆弱なパスワードに思えないが、パスワード間違いの回数制限がないのかな?