新型コロナウイルスの感染拡大を受けてテレワークの推進が進む中、多くの企業で社外に持ち出したPCや自宅のPC等を組織内部のネットワークに安全に接続させるための手段としてVPNが利用されています。それに伴い、VPNを実現するための装置を狙ったサイバー攻撃が増加しています。テレワークの動きが広がる一方、企業の安全対策が急務となっています。企業には、利用するVPN機器などの脆弱性情報の収集や、設定の見直しなどの迅速な対応が求められています。今回はVPNの安全性を検証すると共に、よりセキュアな代替手段についても解説していきます。
VPNのメリットとデメリット
VPN(Virtual Private Network)とは仮想の専用ネットワークのことであり、本来は広く公に開かれているインターネット上にまたがる形で仮想空間を作り、個人専用のネットワークのような機能、セキュリティを実現して通信をおこなうことを指しています。VPNは互いの拠点に専用のルーターを設置することにより、その拠点間上に仮想の専用ネットワークを構成、直接的な接続を可能にしています。利用している回線はごく普通の公衆インターネット回線ですが、外部から中でやり取りされている内容が読み取れないよう、暗号化が施されています。あくまでも「仮想」の専用回線を公衆のインターネット上に作り上げていますので、実際のLAN接続による社内ネットワークとは違い、セキュリティ面などいくつかの問題点も抱えています。
メリット
・低コストで通信可能
パブリックネットワークを利用したVPNは専用回線が不要で、運用に必要なルーターも安い製品が多いので低コストで通信できます。携帯端末からのアクセスも無料Wi-Fiを安全に利用できるので、出先からのアクセスに通信費を気にしなくても大丈夫です。
・通信内容の暗号化で安全な通信ができる
VPNは暗号化技術とトンネリングを併用しているので、通信内容の盗み見や不正アクセスに対する安全が高いメリットがあります。通信内容の暗号化は、専用のソフトを会社と利用者双方が導入して安全を保ちます。トンネリングで専用回線に近い環境を整え、社外からのアクセスが繋がらない設定もできます。
・遠隔でもアクセス可能
全国各地や海外に拠点がある場合でも、VPNは遠隔操作でアクセスできます。距離を気にすることなくネットワークを構築できることはメリットの一つです。新型コロナウイルス対策としてのテレワーク(リモートワーク)にも活用が可能です。
・専用線ではない複数の拠点でも接続可能
拠点が複数であっても、VPNを利用することでスムーズにデータ通信を行えます。また、自社と拠点間のみの通信しかできない専用線と違って、拠点間同士でもセキュアな環境下で通信することができます。
デメリット
・情報漏えいの可能性
さまざまなセキュリティ機能を搭載しているVPNでも、万能というわけではありません。ネット環境を利用すれば情報漏えいのリスクもゼロではありませんし、VPNの設定を適切におこなえず、IP漏えいを助長してしまう可能性もあります。初期設定の誤りは、IPアドレスや通信ログ流出に繋がります。サービス提供者によるマルウエア感染のリスクもあります。安全性が絶対的に確保されているものではないことを、理解しておく必要があります。
・通信速度が遅い場合がある
VPNで一般回線を利用すると、混雑時には通信速度が遅いこともあります。接続するサーバーが日本にない時は、海外のサーバーを利用するので通信速度が国内とは異なる場合もあります。セキュリティ機能のためにルーター側のCPUに負担がかかり、速度に影響を及ぼすことも原因です。
・機能によってコストがかかる場合がある
VPNは機能によってコストが異なるので、価格に見合った価値があることを確認する必要があります。SSLはグループウェアやウェブブラウザに搭載されているので、導入コストを下げられますが、社内システムによっては専用クライアントソフトが必要になることもあります。IPsecは独自のクライアントサーバシステムにも導入可能で、社内ネットワークに適していますが、出先からのリモートアクセスが多い場合はSSLが有効です。
・管理面からみた非効率性
VPNはエンタープライズセキュリティにきわめて現実的な脅威を及ぼします。VPN はその特性から、ネットワークファイアウォールに穴を開け、ネットワークへ自由にアクセスできるのが一般的です。また、VPN はインテリジェンスも欠如していて、ネットワークにアクセスしようとしているユーザーの本人確認を正確に行うことはできず、多要素認証(MFA)に応じて承認と却下の判断が常に変わります。さらに、VPN はベテランの IT スタッフを独占することになります。接続を提供し、日常のオンボーディング、オフボーディング、および一般監査の複雑さを容易にするために、VPN のサポートだけに費やされる時間数や、それに関連した過剰なシステムをユーザーが目にすることはほとんどありません。
VPNの脆弱性を狙ったサイバー攻撃
Citrix社製品の攻撃
2019年12月にCitrix社の一部の製品に関する任意のコードを実行可能な脆弱性(CVE-2019-19781)が公開されました。攻撃手法の詳細が公開され誰でも試せる状態になりました。この脆弱性が悪用された場合、データ改ざんや流出などの被害が発生する恐れがあり非常に危険だと報じられました。「複数の Citrix 製品の脆弱性 (CVE-2019-19781) に関する注意喚起」も2020年1月にJPCERT/CCより出されています。
この攻撃で、検証コードを使って製品のパスワードファイル/etc/passwdの取得ができることが示されています。対象はCitrix Application Delivery Controller(旧称Citrix NetScaler ADC)、Citrix Gateway(旧称NetScaler Gateway)、Citrix SD-WAN WANOP を利用するユーザー、サービス、サポートされている製品バージョンと全てのプラットフォームです。これにより該当製品、サービスを利用している企業は必要外(インターネット等)の環境からの接続制限、Citrix社の公開する緩和策の適用、FWやIPS/IDSによるExploitコードの遮断等が求められました。
Pulse Secure社製品の攻撃
2020年8月下旬、米Pulse Secure社(パルスセキュア)のVPN機器から、テレワークに欠かせない社外接続の認証情報などが流出したと報じられました。パルスセキュアのVPN機器(Pulse Connect Secure)を使用する複数の国内大手企業が不正アクセスを受け、テレワークに利用されるVPNの認証情報などが流出したとの内容です。
同社ではこの機器について2019年4月に脆弱性を公表、修正プログラムも公開しており、JPCERT/CCからも注意喚起が公開されていました。情報が流出した企業では、この修正プログラムを反映していなかったとみられています。脆弱なVPN機器は、組織への侵入経路として標的型攻撃やランサムウェア感染などで悪用されるおそれがあります。第三者が機密情報を抜き取ったりウイルスをばらまいたりするなどの被害の拡大も予想されます。
英外貨両替大手Travelexのランサムウエア攻撃
上記で説明した脆弱性のあるPulse Secure社製品を未修整のまま使用していたとされる外貨両替大手Travelexが、ランサムウエア攻撃を受け、ビットコイン2億5000万円相当を支払いました。Travelexは2019年12月31日にランサムウェア「Sodinokibi」の攻撃を受けていました。Travelexはコメントを出していませんが、9月にパッチが出ていた脆弱性(CVE-2019-11510)に対して11月までパッチを適用してなかった可能性が指摘されています。
より高速、シンプル、安全なVPNの代替手段、ゼロトラスト・ネットワーク・アクセス(ZTNA)
VPNは、ユーザが正当なユーザであることを確認したり、デバイスの状態を確認したりすることなく、ファイアウォールを通過させるため、セキュリティホールが生まれリスクが増大します。またリモートユーザが VPNでネットワークにトンネリングされると、そのユーザは「信頼済み」と見なされる。本当に信頼できるかどうかは不明であるにも関わらず、 そのユーザに水平方向のネットワークアクセスが許可されてしまいます。そこで近年PNの代替として注目を集めるのがゼロトラスト・ネットワーク・アクセス(ZTNA)です。
ゼロトラスト・ネットワークでは、ネットワークの境界は防御線としての意味をなさず、すべての通信アクセスを信頼しないという考え方に基づき、対策を講じます。守るべき情報そのものにアプローチし、そこにアクセスするユーザー、端末、アプリケーションなどの信頼性を常にチェックするアーキテクチャとなります。社内からのアクセスであっても、ある企業情報に対しアクセスしようと、常にユーユーザは本人なのか、アクセスする権限を持っているか、利用している端末は安全性があるのかといったことを確認します。正しいアクセス権を持ったユーザが本人だと認められた場合のみアクセスが許可されるシステムです。
ゼロトラストのアプローチ
- 境界を改めて定義し、「外部」だけでなく「内部」からの攻撃も防御
- 境界をソフトウェアで構築し、集中制御
- 社内/社外の境界を定義せず、デバイスごとに管理
- 通信アクセスをすべて可視化/検証する
- すべての記録(ログ)を残す
- 必要最低限の認可をユーザーに与える
ゼロトラスト・ネットワークを検討するうえで欠かせないのが、エンドポイント(PCなどの端末)におけるセキュリティです。以前まで、エンドポイントは境界の内側(内部ネットワーク)にあるものだとされていましたが、境界がなくなったゼロトラストネットワークモデルにおいては、エンドポイントの挙動を可視化し、保護/管理することが重要となります。
さいごに
今回実際に被害にあった事例としてご紹介したTravelexは全世界26か国に1000を超える店舗とATMを持ち、業界大手の企業です。Travelexでは一定水準以上のセキュリティ体制が取られていたかと思いますが、ランサム攻撃者は、そんなグローバル企業ですら被害を受けてしまいます。この事に、日本企業ももっと注意を払う必要があるのかと思います。自社が利用しているVPN機器の脆弱性について企業は常に把握しておかないと、大きな代償を払う事になります。はっきり言いますとVPNの利用は時代遅れになりつつあり、サイバー攻撃だけでなく、内部犯行による情報漏えいも見据えるなら、今回ご紹介したようなゼロトラストのアプローチが必要になってきます。データを暗号化してアクセスコントロールを行うことはもちろん、誰がどこでどのようなデバイスやツールを使用して企業のシステムにアクセスするのかの可視化するソリューションが重要になってくるでしょう。
弊社は ゼロトラストを実現するセキュリティ・ソリューション、Cloudbric RASをご提供しております。暗号化、適切な2要素認証、モニタリング、不正侵入識別および遮断など、企業システムにアクセスしようとする全てのユーザを徹底的に識別し、VPNでは防御しきれない内部侵入者の攻撃を未然に防げます。
ゼロトラストに基づいたエンタープライズセキュリティ導入をお考えの方は、是非こちらの詳細をご確認ください。
