昨今、ランサムウェアによる被害のニュースが増えているが、その原因として大きく2種類あるように思う。
①正規利用者のユーザID・パスワードが盗用されたケース
②ネットワーク機器(特にVPN機器)の脆弱性(設定ミスも含む)を悪用されたケース
よく語られている対策は次のとおり。
①については、パスワードの使いまわし(複数のサービスで、同じIDと同じパスワードの組み合わせで利用する)をしないとか、他要素認証を利用するのが良いと言われている。
②については日々のメンテナンスが重要であると言われている。
上記の対策は確かに重要であるが、VPN機器を攻撃者に狙われやすくさせている、VPN機器固有の課題とは何であろうか。
参考)他要素認証
パスワード以外に、別の要素を認証に使うこと。認証に使われる要素には3種類あると言われており、知っているもの・持っているもの・自分自身が挙げられている。
パスワードは「知っているもの」なので、なにかのデバイスを持っていることや、自分自身であることを示す指紋認証等が使われる。
日常生活でよく利用されるものとしては、SMSで送られたりや認証アプリで生成される6桁程度の数字(ワンタイムパスワードと呼ばれることが多い)を、パスワード入力後に入力させるケースがある。
一時期は、消しゴムサイズや少し分厚いカード型の「ワンタイムパスワード」を表示させる専用装置が配られていたこともあるが、最近は専用機器ではなく、スマホにアプリを入れてワンタイムパスワードを生成させることが多い。
⏩
VPNの課題 その① ― 攻撃者もVPN機器に到達できるため、不正ログインの可能性
VPNはリモート勤務等で従業員がインターネット経由で、社内ネットワークにアクセスするシステムである。
そのため、ファイアウォールでは、インターネット全体からVPN機器への通信を許可する必要がある。その結果、正規利用者以外にも、(VPNにはログインできないかも知れないが)攻撃者もVPN機器に通信を行うことができる(VPN機器に到達できる)。
上図では、攻撃者①は無関係なインターネットからのアクセスが許可されていないサーバに向かって通信をしようとしているため、ファイアウォールでブロックされる。
一方で、VPN機器はインターネット全体からの通信を待ち受ける必要があることから、ファイアウォールでは通過が許可されている(=穴が開いている)必要がある。そのため、攻撃者②は、正規利用者同様にVPN機器に到達できる。
攻撃者②はVPN機器に到達できるため、VPN機器に悪用可能な弱点があれば、VPNにログイン可能性がある。
例えば、正規利用者のIDとパスワードをどこかから入手できた場合(冒頭のケース①)や、VPN機器に未対策の脆弱性が残っている場合(冒頭のケース②)などがよくある例であり、実際、昨今よくニュースになる社内ネットワークへの不正アクセスは、VPN機器が狙われたものが多い。
VPNの管理が不十分なケース、特にアカウント管理が不十分な場合や脆弱性対策のOSバージョンアップがされていない場合に、攻撃者が社内に不正に侵入できてしまうのがVPNに関する第1の課題である。
⏩
VPNの課題 その② ― 接続先がネットワークであり、攻撃者がネットワーク内を徘徊できる
VPNはその名「仮想専有ネットワークVirtual Private Network」の通り、端末から社内に向けてのネットワークを構築するためのものである。よって、VPNが接続されると、端末は社内ネットワークに接続されることになる。そのおかげで、正規利用者は社内のシステムに、社内にいるときと同様にアクセスが可能になる。
しかし、これがVPNの第2の課題にもなる。攻撃者がVPN接続をできた場合、攻撃者の端末も社内ネットワークに接続されることになる。そして、社内のシステムに正規利用者同様にアクセスできてしまう。
攻撃者が正規利用者のアカウントを悪用して接続している場合、そのアカウントを使って社内のファイルサーバ等にアクセスできる可能性が非常に高い。アクセスできなかったとしても、攻撃者は社内ネットワーク内を徘徊し、社内サーバの設定ミスや未対応の脆弱性、弱いパスワードを利用しているアカウントなどを探索し、社内の様々なサーバにアクセスを試みる。
その試みは、早ければ数時間、長い場合は数週間の期間をかけてこっそり行われ、最終的に機密情報を持ち出されたり、ランサムウェアの場合はシステムの暗号化を行われたりする。
⏩
VPNの課題に対する対応
このように、VPNには仕様上の課題が大きく2つ存在している。この課題の1つ目(攻撃者もVPN機器に到達できるため、不正ログインの可能性)を解決できるのが、SDP(Software Defined Perimeter)という考え方であるが、SDPの説明の前に知っておくべき前提情報があるため、この記事とは分けて説明する。
2つ目の課題(接続先がネットワークであり、攻撃者がネットワーク内を徘徊できる)の対策がゼロトラストである。ただ、ゼロトラストと言っても、「接続を試みているのが誰か」の確認を宛先のサーバで行ってしまうと、攻撃者は宛先サーバへ到達はできてしまっているので解決策にならない。
そのため、ここでのゼロトラストは、宛先サーバに到達する前段階でゲートウェイ等により「誰がどこにアクセスしてよいのか」の判断をする必要がある。この説明だけで長くなるので、また別記事で触れようと思う。
0 件のコメント:
コメントを投稿