CISAとNSAがVPNに関してガイドラインをリリースしました。
us-cert.cisa.gov
キタきつねの所感
米国国家安全保障局(NSA)と、米国国土安全保障省サイバーセキュリティ・インフラストラクチャ庁(CISA)が連名で、VPNの選択と強化に関するガイダンスをリリースしています。
警告(アラート)という訳ではなく情報シート(情報提供)ではありますが、このガイダンスが米国政府機関の連名で出たという事は、企業や組織のVPNのセキュリティ状態が相当危ないとNSAやCISAは考えている事に他なりません。
VPNに関する初期リスクは、エントリポイント(VPN装置)が悪意のあるサイバー攻撃者によって悪用される事ですが、CISAの記事では以下の点が指摘されています。
・クレデンシャルの収集
・VPNデバイスでのリモートコード実行
・暗号化されたトラフィックセッションの暗号化による弱体化
・暗号化されたトラフィックセッションのハイジャック
・デバイスからの機密データ(構成、クレデンシャル、キーなど)の任意の読み取り
当然の事ながら、これだけで終わり・・・という訳ではなく、初期攻撃に成功した場合、漏えいした認証情報(クレデンシャル)を使った2次攻撃や内部に侵入されるバックドア設置など、偵察・初期侵入の先である横移動(ラテラルムーブメント)に発展していく可能性が高いので、機密情報の漏えいや、ランサムウェア等によるビジネス妨害(暗号化)被害の懸念があります。
リモートワークを狙った攻撃が仮に成功してしまうと、企業側に大きなダメージを与えるだけでなく、従業員側も直接的に”テレワークが出来なくなる”様なセキュリティ改修が必要となる可能性もあります。
多くの従業員(ユーザー)は、テレワーク関係のセキュリティをIT部門の”仕事”と思っている方が結構いるかと思いますが、ユーザー側が悪くて侵害を受ける事もあるので、自分たちの身を守る為にも、攻撃者に狙われているテレワーク環境におけるサイバー衛生について、IT部門同様に危機感を持つ事が重要です。
CISAの記事では、企業・組織が情報シートの推奨事項を確認して採用する事を推奨しています。内容(一部簡略化)は以下の通りです。
※訳すのが面倒なので全て機械翻訳となります。内容が分かりにくい所はご容赦下さい
①リモートアクセスVPNの選択と強化ソリューション
既知の脆弱性を迅速に修正した実績のある、信頼できるベンダーの標準ベースのVPNを選択すること。
既知の脆弱性を迅速に修正し、強力な認証情報を使用するためのベスト・プラクティスに従った実績のある信頼できるベンダーの標準ベースのVPNを選択する。標準ベースのVPNを選択すること。
VPNサーバーの攻撃対象を減らすことで、VPNを強固にして侵害に対抗する
・強力な暗号化と認証の設定
・厳密に必要な機能のみを実行する
・VPNからのアクセスの保護と監視
②リモートアクセスVPNを選択する際の注意点
SSL/TLS(Secure Sockets Layer/Transport Layer Security)と呼ばれる製品を含む、標準的ではないVPNソリューションの選択は避けてください。SSL/TLS(Secure Sockets Layer/Transport Layer Security)VPNと呼ばれる製品を含む、非標準のVPNソリューションを選択しないでください。これらの製品には、TLS を介してトラフィックをトンネリングするためのカスタムで非標準的な機能が含まれています。カスタム機能や非標準機能を使用すると、次のような場合でも、追加のリスクが発生します。カスタムや非標準の機能を使用すると、製品が使用するTLSパラメータが安全であっても、追加のリスクが発生します。NSAとCISAは、標準化されたインターネット鍵交換/インターネットプロトコルセキュリティ(NSAとCISAは、標準化されたインターネット鍵交換/インターネット・プロトコル・セキュリティ(IKE/IPsec)VPNを推奨しています。
VPNの標準的なセキュリティ要件に対して検証された標準的なIKE/IPsec VPNを推奨しています。
ベンダーのドキュメントをよく読んで、潜在的な製品が以下をサポートしていることを確認してください。IKE/IPsec VPNをサポートしていることを確認してください。製品によっては、ドキュメントに製品によっては、VPNトンネルを構築する際にサポートしているプロトコルに関する包括的な情報がVPNトンネルを構築する際にサポートしているプロトコルに関する包括的な情報を提供していない場合があります。準拠している規格が明示されていない製品やまた、VPNの構築に独自の方法を採用していると主張する製品も避けてください
IKE/IPsec VPNを確立できない場合に、製品が独自のVPNプロトコルまたは非標準ベースのVPNプロトコルでSSL/TLSを使用しているかどうかを確認する。IKE/IPsecの交渉に失敗する状況を理解してください。可能であれば、SSL/TLS専用または非標準ベースのVPNフォールバックを無効にすること。
潜在的な製品がFIPSで検証された暗号モジュールを使用し、以下のことを確認する。
承認された暗号アルゴリズムのみを使用するように設定できること
製品が強力な認証情報とプロトコルをサポートし、弱い認証情報とプロトコルがデフォルトで無効になっていることを確認してください。多要素認証を使用することを計画し、使用される認証情報をサポートする製品を選択する。
ソフトウェアの定期的なアップデートや既知の脆弱性の迅速な修正など、製品のサポートに実績のあるベンダーを調査し、選択すること。サポート期間が製品の予想使用期間全体をカバーしていること。製品の寿命が尽きる前に製品を交換すること。
定期的なソフトウェアのアップデートや既知の脆弱性の迅速な修正など、製品のサポートに実績のあるベンダーを調査し、選択してください。製品のソフトウェア部品表(SBOM)を要求し、検証することで、基礎となるソフトウェアコンポーネントのリスクを判断することができる。多くのベンダーは、既知の脆弱性を含む古いバージョンのオープンソースソフトウェアを製品に使用しています。その中には既知の脆弱性を持つものも含まれており、このリスクを管理することは非常に重要です。
製品が自身のコードの完全性を検証するための堅牢な方法を持っていること
また、定期的にコードの検証を行うこと ネットワークの境界にあるセキュリティ・デバイスとして境界にあるセキュリティ機器として、VPNゲートウェイは敵対者の人気の的です。デバイスの完全性を検証する能力がなければ、侵入を検知することは不可能です。
製品に以下のような侵入に対する保護機能が含まれていることを確認する。
・署名入りのバイナリやファームウェアイメージの使用
・実行前にブートコードを検証するセキュアブートプロセス
・ランタイムプロセスおよびファイルの完全性の検証
自分で点検できない場合のリスクを理解する。一部のタイムリーなインシデントレスポンスを妨げる方法でデバイスを暗号化しているVPNベンダーもあります。対応を妨げる方法で暗号化しています。製品の所有者がデバイスを完全に検査することができない製品は、追加のリスクをもたらします。製品の所有者がデバイスを完全に検査することができない製品は、追加のリスクをもたらし、結果的にメーカーが製品サポートの障害となる可能性があります。製品サポートの妨げになる可能性があります。インシデント対応プロセスの遅れは、洗練されたアクターが痕跡を消すのに必要な時間を与えてしまう可能性があります。
組織のリスク許容度に照らし合わせて、候補となるデバイスの追加機能を検討する。
リスク許容度に照らし合わせて検討します。リモートでアクセスできる管理ページやウェブベースの社内サービスなど、多くの追加機能は便利ですがこのような機能は、製品の攻撃対象を増やし、敵に狙われて悪用されることが多いため、リスクを伴います。敵対者に狙われ、悪用されることが多いからです。製品を選ぶ際には、以下の点に注意してください。コアとなるVPN機能の保護に重点を置き、追加機能をあまり持たない製品を選択する。あるいは、最低でも、追加機能を無効にすることができ、できればデフォルトで無効になっている製品を選ぶことです。できれば、デフォルトで無効になっていることが望ましいです。
③承認された強力な暗号プロトコルのみを要求する。アルゴリズム、認証情報を必要とします。
ナショナル・セキュリティ・システム(NSS)は、NSAが承認したコマーシャル・セキュリティ・アルゴリズム(CNSA)のアルゴリズムを使用することが求められます。非NSSの米国政府系システムは、NISTが指定するアルゴリズムこれには、NSSを保護するために承認されたアルゴリズムも含まれています。NSAとCISAは、他のシステムでもCNSAスイートに含まれる暗号アルゴリズムを使用することを推奨しています。
IKE/IPsecを使用するようにVPNを設定し、可能であればSSL/TLS VPNの機能とフォールバック・オプションを無効にします。フォールバック・オプションを無効にすることができます。
サーバーの認証には、信頼できるサーバー証明書を使用し、定期的(1年ごとなど)に更新してください。自己署名証明書とワイルドカード証明書は、それぞれ信頼されるべきではないか、または過度に広い範囲で信頼されているため、使用しないでください。利用可能な場合は、クライアント証明書認証を使用する。これは、パスワードを使用するよりも強力な認証形式である、スマートカードを使用することなどによるものです。クライアント証明書認証を使用して、有効な信頼できる証明書を持たないクライアントからの接続をVPNが禁止するようにします。
④リモートアクセスVPNの攻撃対象を減らす。
既知の脆弱性を緩和するためのパッチやアップデートを即座に適用する。急速に悪用されることが多い(時には24時間以内)
VPN装置への外部からのアクセスをポートやプロトコルで制限する。
可能であれば、既知のVPNピアのIPアドレスを許可リストに入れ、それ以外をブロックします。注意してください。未知のPeer IPアドレスがVPNにアクセスすることが予想される場合、この方法は難しいかもしれません。
脆弱性がある可能性が高い、VPN関連以外の機能や高度な機能を無効にする。
Web管理、リモートデスクトッププロトコル、ファイル共有などの機能は便利ですが
プロトコル、Secure Shell、ファイル共有などの機能は便利ですが、リモートアクセスVPNの運用には必要ありません。
VPNによる管理インターフェースのアクセスを制限すること。悪意のあるサイバーアクターが管理者の認証情報を漏洩させ、管理インターフェイスへの認証を試みて
管理インターフェイスを認証し、特権的な操作を実行する可能性があります。次のことをしないでください。
VPN管理者がリモートアクセスVPN経由で管理インターフェイスにログインできるようにしないでください。
管理者のアクセスを専用の内部管理ネットワークに制限してください。
管理者の資格情報を使用してリモートアクセスVPNにアクセスしようとする試みを調査します。
⑤VPNを利用したアクセスの保護と監視
侵入防止システムをリモートアクセスVPNの前に設置し、不要なVPNトラフィックを検出します。
Web Application Firewall(WAF)を使用する。TLS VPNトラフィックに対応しているWAFの中には、Webアプリケーションを悪用しようとするものを検知してブロックするものがあります。VPNの脆弱性を悪用する不正な文字列を含む特別に細工されたHTTPリクエストなど、Webアプリケーションを悪用しようとする行為を検出し、ブロックすることができます。WAFおよびVPNベンダーと協力して互換性を評価し、サポートされている場合は保護のためにWAFを導入します。
Webアプリケーションのセキュリティ強化が可能にする。リモートアクセスVPNソリューションの中には、ウェブアプリケーションのセキュリティを強化する機能を提供しているものがあります。認証を回避するためにユーザーの以前のセッション情報を再利用することなどを防ぐために これらのサポートされている場合は、これらの機能を有効にします。
適切なネットワークセグメンテーションとアクセス制限を採用して、リモートで必要とされるサービスのみがVPN経由でアクセスできるようにします。使用デバイス情報、アクセス要求元の環境、認証情報の強度、アクセス経路のリスクなどを用いて
アクセスの決定
ローカルおよびリモートのログを有効にして、認証やアクセスの試み、設定変更、ネットワークトラフィックのメタデータなど、VPNユーザーの活動を記録し、追跡します。すべてのログを継続的に監視・分析し、不正アクセス、悪意のある設定変更、異常なネットワーク・トラフィック、その他の侵害の指標を探します。
⑥ネットワーク入口の確保
リモートアクセスVPNは、企業ネットワークへの入り口であり、そこにあるすべての機密データサービスへの入り口となります。このように直接アクセスできるため、悪意のある攻撃者にとっては貴重なターゲットとなります。標準規格に準拠した安全なVPNを選択し、攻撃対象を強化することで、悪意のあるアクターを排除することができます。これは、ネットワークのサイバーセキュリティを確保するために不可欠です。
余談です。先日のFortiGateのVPN装置の認証情報データにおける日本人の認証情報(と思われるもの)を時間がある際に、少しづつクリーニング処理をしているのですが、以前にも書いた通り、重複があるとは言え、日本人の(管理者)パスワードの”実態”はかなり酷いものがあります。
海外(米国)でも同様な結果となっている事を、恐らくNSAやCISAは”よく知っている”と思われますが、VPNの脆弱性が(今のままで)放置されると、将来の2次的、3次的な被害が懸念される事から、こうした注意喚起が出ているのかと思います。
※昨日日経XTECHでもVPN関連の記事が(恐らく偶然)出てました。こちらも参考になるかと思います。
active.nikkeibp.co.jp
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
