米国国家安全保障局(NSA)と米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局(CISA)は、企業が従業員に社内ネットワークへのリモートアクセスを許可するために使用するVPNサーバーを適切に保護するための技術的なガイダンスを公開しました。
NSAは、複数の国家のAPT(Advanced Persistent Threat)が一般的なVPNサーバーの脆弱性を利用して組織に侵入したことを受て、9ページのガイドを作成したと述べています。
VPN機器のCVE(脆弱性)を悪用することで、攻撃者は認証情報の窃取、リモートでのコード実行、暗号化されたトラフィックの暗号化の弱体化、暗号化されたトラフィックセッションの乗っ取り、デバイスからの機密データの読み取りなどが可能になります。
これらの行為が成功した場合、一般的にさらなる悪意のあるアクセスを引き起こし、企業ネットワークの大規模な侵害につながる可能性があります
例えば、中国、イラン、ロシアの国家支援グループが、2019年から2021年にかけて行われた攻撃で、Pulse SecureやフォーティネットのVPNの脆弱性を悪用していることが確認されています。
また、Conti、Ryuk、REvil、DoppelPaymer、LockBitなどのランサムウェアグループは、VPNサーバーを組織への侵入口として利用し、内部ネットワークへのアクセスを拡大してファイル暗号化攻撃を仕掛けていることが確認されています。
さらに、暗号化ボットネットはVPNサーバーを利用して企業ネットワークに侵入し、内部システムに暗号通貨のマイニングソフトウェアを隠して侵入。攻撃者の金銭的利益のためにコンピューティングリソースを使い果たすという手口も見られます。
NSAのサイバーセキュリティ担当ディレクターであるロブ・ジョイスは、「リモートアクセスVPNを悪用することは、大規模な侵害へのゲートウェイとなる可能性がある」と述べています。
組織がVPNを選択する際に何を確認すべきか、また悪用されるリスクを減らすためにどのように設定すべきかを理解するためのガイダンスを作成しました
VPNが安全に設定されていることを確認するために、これらの推奨事項を確認してください。
このガイドは、今後、新たな問題や推奨事項が発見された場合に更新されることが予想されますが、以下のトピックに関するアドバイスが含まれています。
- リモートアクセスVPNを選択する際の注意点
- 強力な暗号と認証を構成するための指示
- 厳密に必要な機能のみを実行することで、VPNの攻撃対象を減らすためのアドバイス
- VPNへのアクセスおよびVPNからのアクセスの保護と監視に関するアドバイス
今回のガイダンス公開は、両機関が先月2021年8月にもKubernetesクラスタのセキュリティ強化に関する別の共同ガイドを公開したことを受けて行われたものです。
NSAとCISAのガイダンス
リモートアクセスVPNの選択とハードニング
仮想プライベート・ネットワーク(VPN)は、ユーザーが安全なトンネルを介して企業ネットワークにリモートで接続することを可能にします。
安全なトンネルを介して企業のネットワークに接続することができます。このトンネルを介して、ユーザーは、電子メールやコラボレーションなど、通常はオンサイトのユーザーに提供される内部サービスや保護を利用することができます。
ユーザーは、このトンネルを介して、電子メール/コラボレーション・ツール、機密文書保管庫、その他の社内サービスや保護を利用することができます。
そのため、リモートアクセスVPNサーバは保護されたネットワークへのエントリーポイントであるため、敵対者の標的となります。
積極的な搾取
複数の国家のAdvanced Persistent Threat(APT)が、公開されているCVE(Common Vulnerabilities and Exposures)を悪用しています。
公開されているCVE(Common Vulnerabilities and Exposures)を悪用して、脆弱なVPN機器に攻撃を行っているのです。
場合によっては、エクスプロイト・コードがオンラインで自由に入手できることもあります。公開されているCVEを悪用することで悪意のある行為者は以下のことが可能になります。
- クレデンシャルの採取
- VPNデバイス上での任意のコードのリモート・コード実行
- 暗号化されたトラフィック・セッションの暗号的な弱体化
- 暗号化されたトラフィック・セッションの乗っ取り
- 機密データ(設定、認証情報、鍵など)のデバイスからの恣意的な読み取り
これらの影響は、一般的にVPNを介した更なる悪意のあるアクセスにつながり、企業ネットワークやアイデンティティ・インフラの大規模な侵害や場合によっては別のサービスも危険にさらされます。
リモートアクセスVPNを選択する際の推奨事項
リモートアクセスVPNを選択する際には、以下の推奨事項を考慮してください。
■SSL/TLS (Secure Sockets Layer/Transport Layer Security) VPNと呼ばれる製品を含む、標準的ではないVPNソリューションの選択は避けてください。
これらの製品には、TLS経由でトラフィックをトンネリングするためのカスタマイズされた非標準の機能が含まれています。
製品が使用するTLSパラメータが安全であっても、カスタムまたは非標準の機能を使用すると、追加のリスクが発生します。
NSAとCISAは、標準化されたインターネット鍵交換/インターネット・プロトコル・セキュリティ(IKE/IPsec)VPNを推奨しています。
■コンプライアント・リスト(PCL)を参照してください(Conformance Claim:EP_VPN_GWまたはMOD_VPNGW)を参照してください。] NIAP認証を受けた機器は、第三者機関によってNIAP認定機器は、サードパーティの研究所によって、明確に定義されたセキュリティ機能と要件に基づいて厳格にテストされています。
プロプライエタリなプロトコルは、セキュリティ要件が定義されている場合もあれば、されていない場合もあります。
標準ベースのプロトコルと比較して、分析やテストが十分に行われていない可能性があります。
ベンダーの資料をよく読んで、候補となる製品が以下をサポートしていることを確認してください。
■IKE/IPsec VPNをサポートしていることを確認してください。
製品によっては、ドキュメントにサポートしているプロトコルに関する包括的な情報を提供していない場合があります。
VPNトンネルを確立する際にサポートしているプロトコルについて、包括的な情報を提供していない製品もあります。準拠している規格が明示されていない製品やVPNの構築に独自の方法を採用していると主張する製品も避けてください。
IKE/IPsec VPN を確立できない場合に、その製品が SSL/TLS を独自の VPN プロトコルで使用しているのか、それとも非標準の VPN プロトコルを使用しているのかを確認してください。
可能であれば、SSL/TLSの専用または非標準ベースのVPNフォールバックを無効にする。
Comments