米国NSAとCISA、VPNをサイバー攻撃から守るためのセキュリティガイドを公開

セキュリティ
2021.10.27

2021年9月28日、アメリカのCISA (Cybersecurity & Infrastructure Security Agency、国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁) およびNSA (アメリカ国家安全保証局) が、VPN製品の選定および堅牢化のガイドとなる情報を公開しました。

「NSA, CISA Release Guidance on Selecting and Hardening Remote Access VPNs」
https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/2791320/nsa-cisa-release-guidance-on-selecting-and-hardening-remote-access-vpns/

「Selecting and Hardening Remote Access VPN Solutions」(PDF)
https://media.defense.gov/2021/Sep/28/2002863184/-1/-1/0/CSI_SELECTING-HARDENING-REMOTE-ACCESS-VPNS-20210928.PDF

本稿では、このガイダンスの内容に触れ、VPN利用においてのセキュリティ検討事項について、解説していきたいと思います。

利用者にとって利便性の高いVPNは、攻撃者にとっても魅力的なターゲット

VPNは、「Virtual Private Network」の略で、ブロードバンドの普及が急速に進んだ2000年代以降に、一般的なITインフラとして、または近年では働き方改革や、新型コロナウイルス感染症に伴うテレワーク環境の整備の一環として、その利用が進んできました。

VPNの利用により、組織内ネットワークからのみアクセスが可能なシステムに対してアクセスが可能となるという利便性の点はもちろんのこと、エンドポイントが直接的にインターネットにアクセスを行うのではなく、VPNを経由することで、組織内ネットワークの境界(入口・出口)にて提供されるセキュリティ保護機能を利用することができるというメリットがあります。(ここでいう保護機能とは、主にはファイアウォールやWeb, メールのフィルタリング製品のことです)

前述の通り、利用者にとってはメリットの多いVPNですが、注意しなければならないのは、VPN機能を提供するVPN製品は、いわば組織内ネットワークへのエントリーポイントの一つでもあるため、ネットワークセキュリティの観点では、重要なファクターであるという点です。

では、この点を攻撃者の視点で考えた場合は、どうでしょうか。

例えば攻撃者がVPN製品の既知の脆弱性を用いて侵害を行った場合、ID・パスワードなどのクレデンシャル情報の窃取、あるいは本人に成り代わって通信を行うセッションハイジャック、通信の暗号化強度を弱める、リモートからコードを実行など、多種多様な攻撃を行うことが可能となります。

また、脆弱性を有するVPN製品については、SHODANなどのサーチエンジンを用いて容易にリストアップが可能であることも考えれば、VPN製品は攻撃者にとって、攻撃に要するコストが低いわりには、得られる利益が大きく、魅力的なターゲットとなることでしょう。

VPN製品のセキュリティ侵害に成功した攻撃者は、VPN経由でのアクセス権限を付与されている従業員と同様に、組織内ネットワークに容易にアクセスが可能となる懸念があります。さらにその前提で問題となるのは、攻撃者によるアクティビティは、正規の従業員によるアクティビティとの差が判別しにくい可能性があるという点です。

その結果、不正アクセスが進行中であるという事象に気づかれることを、遅らせられる可能性があります。インシデントの発生に気づいたときには、さらなるサイバー攻撃と不正アクセスが進行しているなど、被害が甚大なものになってしまうかもしれません。

VPN製品を選定する際の注意点

NSAとCISAのガイダンスに話を戻します。前述のような背景と脅威に対し、NSAとCISAは、共同でVPN製品の選定および堅牢化のガイドを公開しました。本ガイダンスに記載された推奨事項は、次の通りですが、あくまで日本国内でも適用が可能であると思しき箇所を要約したものです。一部抜粋している箇所もありますので、詳細はソースとなるドキュメントをご参照ください。

  • SSL/TLS(Secure Sockets Layer/Transport Layer Security)VPNと呼ばれる製品を含む、スタンダードではないVPN製品を選択することは避ける。推奨はIKE/IPsec VPNに対応した製品。
  • VPN製品がIKE/IPsec VPNをサポートしているかどうかを確認するために、ベンダー提供のドキュメントをよく読む。準拠しているプロトコルが明示されていない製品や、独自の方法でVPNを構築していると主張する製品は避けること。
  • 製品が強力な認証クレデンシャルとプロトコルをサポートし、弱い認証クレデンシャルとプロトコルをデフォルトで無効にしていることを確認する。多要素認証の使用を計画し、使用する認証方式をサポートする製品を選択する。
  • 定期的なソフトウェア・アップデートによる製品のサポートや、既知の脆弱性を迅速に修正してきた実績のあるベンダーを調査し、選択すること。製品の予想使用期間全体をカバーするサポート期間を確保し、製品がEOLとなる前にリプレースする。
  • 製品に以下のような侵入に対する保護機能が含まれていることを確認する。
    • 署名されたバイナリやファームウェアイメージの使用
    • 実行前にブートコードを検証するセキュアブートプロセス
    • ランタイムプロセスとファイルの整合性検証
  • 組織のリスク許容度に照らし合わせて、候補となるデバイスの追加機能を検討する。リモートでアクセスできる管理ページやウェブベースの内部サービスへのアクセスなど、多くの追加機能は便利だが、こうした機能は製品の攻撃対象を増やし、悪用されることが多いため、リスクを伴うも。VPN のコア機能の保護に重点を置き、多くの追加機能を持たない製品を選択するか、最低でも追加機能が無効化できること、できればデフォルトで無効化されていることを確認する。

VPN製品の導入後における、堅牢性の強化施策(ハードニング)

また、本ガイダンスの良い点ですが、選定・導入したVPN製品に対して、以下のアクションを実行することで、さらなる堅牢性の強化(ハードニング)が行えることも明記されています。具体的な施策ですので、ぜひご参考ください。

承認された強力な暗号プロトコル、アルゴリズム、および認証情報のみを要求する

  • IKE/IPsecを使用するようにVPNを構成し、可能であればSSL/TLS VPN機能とフォールバック・オプションを無効にする。
    • SSL/TLS VPNを使用しなければならない場合は、リモートアクセスVPNに強力なTLS(すなわち、TLS 1.2以降)のみを使用することを要求し、それ以前のバージョンのSSLおよびTLSをすべて拒否する
  • VPNサーバの認証には、信頼できるサーバ証明書を使用し、定期的に(例えば1年ごとに)更新すること。自己署名証明書やワイルドカード証明書は、それぞれ信頼すべきではない、または過度に広い範囲で信頼されているため、使用を控える。
  • 利用可能な場合は、クライアント証明書認証を使用する。リモートクライアントがパスワードを使用するよりも強力な形式の認証となる。また、有効で信頼できる証明書を提示していないクライアントからの接続については、拒否するよう設定する。
    • クライアント証明書認証が利用できない場合は、サポートされている他の形態の多要素認証を使用する。

VPNサーバにおいて、攻撃の対象となる要素を減らす

  • 急速に悪用されることの多い(時には24時間以内に)既知の脆弱性を緩和するために、パッチやアップデートを直ちに適用する。
    • すべてのベンダーのパッチガイダンスに明示的に従う。例えば、ベンダーが定期的なパッチガイダンスの一環として、デバイスに関連するすべてのパスワードを変更することを推奨している場合、組織は例外なく、インフラ内のすべてのパスワードを変更する準備をしなければならない。
  • VPNサーバのメジャーアップデートを行う場合や、悪用されていることが確認されている脆弱性のあるバージョンからアップデートする場合は、以下の点を考慮する。
    • VPNユーザー、管理者、サービスアカウントの認証情報の更新。
    • VPNサーバの鍵や証明書を失効させたり、新たに生成したりすることで、VPN接続情報をユーザーに再配布する必要がある場合がある。
    • アカウントの棚卸しを実施し、すべてのアカウントがリモートアクセスに必要であることを確認する。異常な(覚えのない)アカウントが存在する場合は、侵害の可能性を示す。
  • VPNサーバへの外部からのアクセスをポートやプロトコルで制限する。
    • IKE/IPsec VPNでは、UDPポート500および4500、ESP(Encapsulating Security Payload)のみを許可する。
    • SSL/TLS VPNの場合は、TCPポート443などの必要なポートやプロトコルのみを許可する。
  • 可能であれば、既知のVPNピア(クライアント)のIPアドレスを許可リストに入れ、それ以外をブロックする。(注意:IPが固定されている場合のみ有効な施策であり、一般的には難しい可能性が高い)
  • 脆弱性が存在する可能性の高い、VPNに関係のない機能や高度な機能を無効にする。例えばWeb管理、Remote Desktop Protocol、Secure Shell、ファイル共有などの機能は便利だが、VPNサーバの運用には必要ない場合がある。
  • VPNを介した管理インターフェースへのアクセスを制限する。VPNサーバの管理者の認証情報を窃取した脅威アクターは、管理インターフェースへの認証を試行し、特権的な操作を、悪意を持って実行する可能性がある。そのため、VPN管理者がリモートアクセスVPN経由で管理インターフェースにログインすることを許可せず、管理者のアクセスを専用の内部管理ネットワークに制限する。また、管理者のクレデンシャル情報を使用してリモートアクセス VPN にアクセスしようとする試みを調査する。

VPNサーバに対する不審なアクセスからの保護と監視

  • リモートアクセスVPNの前に侵入防止システム(IPS)を導入して、セッションを検査し、不要なVPNトラフィックを検出する。
  • Webアプリケーションファイアウォール(WAF)を使用する。TLS VPN トラフィックに対応している WAF の中には、VPN の脆弱性を悪用する不正な文字列を含む特別に細工されたHTTPリクエストなど、Web アプリケーションに対する攻撃を検出してブロックするものがある。
  • 強化された Web アプリケーション・セキュリティを有効にする。VPN製品の中には、ユーザーの以前のセッション情報について、(悪意を持って)再利用する認証を回避するなど、VPN Webアプリケーションに対する侵害行為を防止するために、Webアプリケーションのセキュリティを強化する機能を提供しているものがある。サポートされている場合は、これらの機能を有効にする。
  • 適切なネットワークセグメンテーションとアクセス制御を行い、リモートで必要とされるサービスのみをVPN経由でアクセスできるようにする。また、アクセスを許可する際には、追加の属性(デバイス情報、アクセス要求の発信元の環境、認証情報の強度、アクセス経路のリスクなど)を使用する。
  • ローカルおよびリモートのログを有効化し、認証やアクセス試行、設定変更、ネットワークトラフィックのメタデータなど、VPNユーザーの活動を記録し、追跡する。すべてのログを継続的に監視し、分析することで、不正アクセス、悪意のある設定変更、異常なネットワークトラフィック、その他の侵害の兆候を確認する。

まとめ

今回はNSAとCISAが共同で公表したガイダンスをベースに、VPN製品選定時の注意点から堅牢化のための推奨施策についてご紹介しました。

ゼロトラストネットワークアクセス(ZTNA)と関連して脱VPNを目指しているケースも見受けられますが、一般には、依然としてVPNの利用状況も高いものと認識しています。そして前述の通り、攻撃者にとってVPN環境は魅力的な攻撃ターゲットであり、各ベンダーが提供するVPN製品においても、重大な脆弱性が検出されるケースが年に数回ほど発生している状況です。(直近では2021/9/24にVPN製品のSonicWallにて、深刻な脆弱性が確認されました)

「SonicWall製のSMA100シリーズの脆弱性(CVE-2021-20034)に関する注意喚起」
https://www.jpcert.or.jp/at/2021/at210042.html

VPNサーバのように、インターネットに公開されているシステムで、かつ脆弱性が放置されたシステムを探し出すことは、今日では容易なことであり、それらのシステムが攻撃のターゲットとなるスピードも早い状況です。ベンダーから脆弱性情報が提供された際には、早期でのパッチ適用が必要であることを、皆様に是非ご認識いただけたらと思います。

VPNサーバを導入したが、設定の見直しなどは特に行われていない企業様はぜひ一度弊社にご相談ください。

⇒お問い合わせ|PNC株式会社
https://www.pnc.jp/inquiry.html

現行のVPN設定の調査と設定不備に対する堅牢化施策の実施を実施させていただきます。

タイトルとURLをコピーしました