2023年1月22日日曜日

VPNの課題

昨今、ランサムウェアによる被害のニュースが増えているが、その原因として大きく2種類あるように思う。

①正規利用者のユーザID・パスワードが盗用されたケース

②ネットワーク機器(特にVPN機器)の脆弱性(設定ミスも含む)を悪用されたケース


よく語られている対策は次のとおり。

①については、パスワードの使いまわし(複数のサービスで、同じIDと同じパスワードの組み合わせで利用する)をしないとか、他要素認証を利用するのが良いと言われている。

②については日々のメンテナンスが重要であると言われている。


上記の対策は確かに重要であるが、VPN機器を攻撃者に狙われやすくさせている、VPN機器固有の課題とは何であろうか。



参考)他要素認証

パスワード以外に、別の要素を認証に使うこと。認証に使われる要素には3種類あると言われており、知っているもの・持っているもの・自分自身が挙げられている。

パスワードは「知っているもの」なので、なにかのデバイスを持っていることや、自分自身であることを示す指紋認証等が使われる。

日常生活でよく利用されるものとしては、SMSで送られたりや認証アプリで生成される6桁程度の数字(ワンタイムパスワードと呼ばれることが多い)を、パスワード入力後に入力させるケースがある。

一時期は、消しゴムサイズや少し分厚いカード型の「ワンタイムパスワード」を表示させる専用装置が配られていたこともあるが、最近は専用機器ではなく、スマホにアプリを入れてワンタイムパスワードを生成させることが多い。


VPNの課題 その① ― 攻撃者もVPN機器に到達できるため、不正ログインの可能性

VPNはリモート勤務等で従業員がインターネット経由で、社内ネットワークにアクセスするシステムである。

そのため、ファイアウォールでは、インターネット全体からVPN機器への通信を許可する必要がある。その結果、正規利用者以外にも、(VPNにはログインできないかも知れないが)攻撃者もVPN機器に通信を行うことができる(VPN機器に到達できる)。

ファイアウォールによるブロックの概念図


上図では、攻撃者①は無関係なインターネットからのアクセスが許可されていないサーバに向かって通信をしようとしているため、ファイアウォールでブロックされる。

一方で、VPN機器はインターネット全体からの通信を待ち受ける必要があることから、ファイアウォールでは通過が許可されている(=穴が開いている)必要がある。そのため、攻撃者②は、正規利用者同様にVPN機器に到達できる。


攻撃者②はVPN機器に到達できるため、VPN機器に悪用可能な弱点があれば、VPNにログイン可能性がある。

例えば、正規利用者のIDとパスワードをどこかから入手できた場合(冒頭のケース①)や、VPN機器に未対策の脆弱性が残っている場合(冒頭のケース②)などがよくある例であり、実際、昨今よくニュースになる社内ネットワークへの不正アクセスは、VPN機器が狙われたものが多い。


VPNの管理が不十分なケース、特にアカウント管理が不十分な場合や脆弱性対策のOSバージョンアップがされていない場合に、攻撃者が社内に不正に侵入できてしまうのがVPNに関する第1の課題である。


VPNの課題 その② ― 接続先がネットワークであり、攻撃者がネットワーク内を徘徊できる

VPNはその名「仮想専有ネットワークVirtual Private Network」の通り、端末から社内に向けてのネットワークを構築するためのものである。よって、VPNが接続されると、端末は社内ネットワークに接続されることになる。そのおかげで、正規利用者は社内のシステムに、社内にいるときと同様にアクセスが可能になる。


しかし、これがVPNの第2の課題にもなる。攻撃者がVPN接続をできた場合、攻撃者の端末も社内ネットワークに接続されることになる。そして、社内のシステムに正規利用者同様にアクセスできてしまう。

攻撃者が正規利用者のアカウントを悪用して接続している場合、そのアカウントを使って社内のファイルサーバ等にアクセスできる可能性が非常に高い。アクセスできなかったとしても、攻撃者は社内ネットワーク内を徘徊し、社内サーバの設定ミスや未対応の脆弱性、弱いパスワードを利用しているアカウントなどを探索し、社内の様々なサーバにアクセスを試みる。

その試みは、早ければ数時間、長い場合は数週間の期間をかけてこっそり行われ、最終的に機密情報を持ち出されたり、ランサムウェアの場合はシステムの暗号化を行われたりする。


攻撃者も社内ネットワークに接続されるため、社内ネットワーク内を徘徊される。


VPNの課題に対する対応

このように、VPNには仕様上の課題が大きく2つ存在している。この課題の1つ目(攻撃者もVPN機器に到達できるため、不正ログインの可能性)を解決できるのが、SDP(Software Defined Perimeter)という考え方であるが、SDPの説明の前に知っておくべき前提情報があるため、この記事とは分けて説明する。

2つ目の課題(接続先がネットワークであり、攻撃者がネットワーク内を徘徊できる)の対策がゼロトラストである。ただ、ゼロトラストと言っても、「接続を試みているのが誰か」の確認を宛先のサーバで行ってしまうと、攻撃者は宛先サーバへ到達はできてしまっているので解決策にならない。

そのため、ここでのゼロトラストは、宛先サーバに到達する前段階でゲートウェイ等により「誰がどこにアクセスしてよいのか」の判断をする必要がある。この説明だけで長くなるので、また別記事で触れようと思う。



"VPNの課題" 」の続きは以下より

(分割表示)
at
Labels: , ,

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)

注目の投稿

「Attack Surfaceがない」とはどういうことなのか

Attack Surface(攻撃表面)がなぜ発生するのか、また、Attack Surfaceがない安全な状態とはどういうことかをまとめてみた。

人気の投稿

  • SPA(Single Packet Authorization)とは
    SDP(Software-Defined Perimeter)において、制御を行うサーバはインターネット上に公開される必要がある。しかし、インターネットに公開されることは、正規利用者以外にも、攻撃者からもアクセスできることを意味する。 そのための対応として、通信の最初の最初の段階...
  • なぜ、今、ゼロトラストなのか ~ 企業ネットワークの変遷
    なぜ、今、ゼロトラストの必要性があちこちで話されるのかをまとめた。(前編) ゼロトラストの概念が出てから10数年が経ち、IT業界・ITセキュリティ業界で「ゼロトラスト」という言葉を最近よく耳にする。 なぜゼロトラストが必要になったのか、企業ネットワークの変遷を踏まえて考える。
  • SDP(Software-Defined Perimeter)とは
    「 VPNの課題 」のところで説明したように、VPNには①攻撃者もVPN機器に接続できる問題、②攻撃者がネットワーク内を徘徊できる問題がある。 その対応として、SDP(Software-Defined Perimeter)という構成が定義されている。SDPにより、攻撃者からの通信...