みなさんこんにちは。長谷川まりです。
コロナ禍において多くの会社がリモートアクセスVPN(以下VPN)でテレワークを行うようになりました。テレワークの実施には、否応なくセキュリティ対策がついて回ります。具体的にはどんな脅威が潜んでいて、どんな対策が考えられるのでしょう。今回は、テレワークで使われるVPNサーバと端末に注目し、4つの脅威と対策を解説します!
VPNサーバとテレワーク端末を取り巻く脅威
脅威 | 影響度 | 攻撃に遭う可能性 | 対策の緊急性 | 対策方法 | |
1 | 認証の突破 | 大 | 中 | 中 | 多要素認証 |
2 | 脆弱性を突いた認証バイパス | 大 | 大 | 大 | 迅速なセキュリティパッチの適用 |
3 | VPNサーバの処理能力不足 | 大 | ー | 大 | インターネットブレイクアウト |
4 | テレワーク端末のマルウェア感染と拡大 | 大 | 中 | 中 | VPN接続強制、リモートデスクトップ接続 |
早速ですが、上の表で、VPNサーバとテレワーク端末を取り巻く脅威を4つピックアップしました。これらは影響度は全部「大」で、攻撃に遭う可能性や、緊急性も高いものを選んでいます。VPNサーバでは、外部からの深刻な攻撃の脅威があります。これに備えながら、可用性も維持しなければなりません。端末側でも、アクセスする端末やネットワークへの接続方法によって、それぞれにマルウェア感染のリスクがあります。以下より1つずつ、解説していきたいと思います。
認証の突破
脅威 | 影響度 | 攻撃に遭う可能性 | 対策の緊急性 | 対策方法 | |
1 | 認証の突破 | 大 | 中 | 中 | 多要素認証 |
標的型攻撃に多い手法
まず、認証突破の脅威と対策について考えてみましょう。攻撃者は、ログイン時のパスワード認証を様々な手法で突破し、社内ネットワークにアクセスをしようと試みます。認証さえ突破できれば、攻撃者であっても正規のユーザーとして扱われてしまうため、内部ネットワークで何をされようと検知が困難になってしまいます。近年ではこのことが、内部ネットワークの端末に過剰な信頼(トラスト)を与えてしまうとして、境界領域防御の重要な課題だと指摘されています。ただ、VPNをやめてゼロトラストの仕組みにすぐに変えることは難しいため、VPNサーバの認証強化が現実解になることが多いです。
さてこの攻撃は、認証されるまでログイン処理を繰り返す作業が必要です。攻撃側にとっても手間と時間がかかるため、手当たりしだいにVPNサーバを見つけてブルートフォース(総当たり)で侵入を試みるよりも、明確に特定の組織を狙った標的型攻撃で使われる場合が多いのが特徴です。
ログインに使用するID・パスワードの入手方法もいろいろ考えられますが、ダークウェブに流出した認証情報が使われることが多いです。ブルートフォースでこじ開けるほか、アカウントロックを避けるためによくあるパスワードのリストを使い複数ユーザーに対し時間を空けてログインを試行するパスワードスプレーといった攻撃もあります。
対策はVPNサーバの認証強化
こうして認証を突破されてしまうと、攻撃の検知はとても難しくなります。例えば、ユーザー行動分析をAIで行い異常行動を元にアラートを上げるようなツールもありますが、まだ導入している企業は少数ですし、発見できる保証もありません。
そこで最も効率の良い対策は、多要素認証によって間違いなく正規ユーザーであることを確認してからログインさせる方法です。多要素認証として最も一般的な方法は、端末認証としてクライアント証明書を利用することです。会社でスマートフォンを貸与している場合には、スマートフォンに認証クライアントを導入し、プッシュ認証やワンタイムパスワードを利用する、といった方法も取ることができます。
脆弱性を突いた認証バイパス
脅威 | 影響度 | 攻撃に遭う可能性 | 対策の緊急性 | 対策方法 | |
2 | 脆弱性を突いた認証バイパス | 大 | 大 | 大 | 迅速なセキュリティパッチの適用 |
さて、最初の認証が大事というお話しをしましたが、これをバイパス(迂回)してしまおうという攻撃者がいます。サーバの脆弱性をついた攻撃です。彼らは標的型だけでなく、金銭目的のコインマイナーやランサムウェアを設置する場合も少なくありません。最近では、VPNから侵入し、何もかもデータを取り尽くしてからランサムウェアを設置、高額な身代金を請求して期限までに払わなければ徐々に盗んだデータを公開していく、という非常に悪質な攻撃も発生しました。こうした攻撃は、短期間で非常に大きな損害に見舞われる恐れがあり、企業の大きさや業種にも関係がないため、「自分たちのような会社は攻撃されない」と考えてしまうのは危険です。
このように、広く攻撃者のターゲットにされてしまう理由の一つに、サーバの脆弱性があるVPNサーバを探すのは、Google検索をするのと同じぐらい簡単に行えてしまうという点にあります。インターネットに公開されたリソースの検索サービスはShodanが有名ですが、実際に、ShodanのWebサイトには昨年話題になったWindows RDPサーバの脆弱性に対する攻撃「Bluekeep」の対策ができていないサーバが日本に何台残っているかを確認できます(https://exposure.shodan.io/#/JP)。このように、脆弱性をもったVPNサーバを検索して選び出し、さらに特定の脆弱性を攻撃できるツールを入手できれば、攻撃者は、攻撃を簡単に繰り返すことができてしまいます。
対策はすぐにパッチを当てること
以上の理由から、認証バイパスが可能となるような致命的な脆弱性がある場合、一刻も早く修正パッチを適用する必要があります。VPNサーバを含め、インターネットに公開しているサーバの重要な脆弱性は、パッチが出てから1週間後ぐらいで大丈夫だろう、などと思ってはいけません。もしパッチ適用が遅れ、実際にその脆弱性を突いた攻撃が世界で観測されていたら、社内に既に侵入を許して足がかりを作られていると考えて、侵害の痕跡をしっかり探す必要があるでしょう。
VPNサーバの処理能力不足
脅威 | 影響度 | 攻撃に遭う可能性 | 対策の緊急性 | 対策方法 | |
3 | VPNサーバの処理能力不足 | 大 | ー | 大 | インターネットブレイクアウト |
コロナ禍のVPNパンク現象
コロナ禍でテレワークが急務となった結果、多くの企業で課題となったのが可用性でした。忘れられがちですが、可用性もセキュリティの一部であり、損なわれればユーザーに最も大きなインパクトがあります。
皆さんもご存じかもしれませんが、ほとんどの企業で利用しているファイア・ウォールやUTMといった機器にはVPNの機能がついていて、これらを利用すれば、仕組み上はVPNが利用できます。ただし想定外のVPNの処理に、すぐにパンクしてしまうことが多いはずです。
VPNは通信の暗号化、復号化を行うためにCPU負荷が大きくなりますので、今まで支えられていたユーザー数の10分の1ぐらいのユーザーがつなげただけでパンクしても不思議ではありません。多くの企業がこれによって反応が遅い、接続が不安定、つながらない、といったVPNパンク現象を経験したと伺っています。
インターネットブレイクアウトでVPNの負担を楽に
また、新たにVPNサーバを調達するとしても長い時間がかかる上、周辺のネットワーク構成も変更する必要もあり、簡単にはいきません。そのため、VPNサーバの能力を増やすよりも、処理量を減らすという選択肢があります。減らすべきものは、クラウドサービスとWebサイトへの通信です。これらはもともとインターネットにあるものなので、セキュリティポリシーさえ守れれば、VPNからわざわざ社内に入ってまたインターネットに出ていく必要もないからです。方法は簡単で、インターネット側ドメインへの通信はVPNサーバに向けずに、端末から直接クラウドプロキシサービス側に仕向ける「インターネットブレイクアウト」を行います。
勿論、インターネットブレイクアウトを行う場合でも、社内でインターネットとの通信時に実施していたものと同等以上のセキュリティ対策がクラウドプロキシサービス側でも実施できる必要があります。様々なセキュリティサービスが受けられるクラウドのことを、クラウド・セキュアWebゲートウェイ(SWG)と言いますが、大抵のSWGサービスでは、ZoomやTeamsなどのリアルタイムのWeb会議のように、重い通信を行っても遅延が発生するということはないでしょう。
テレワーク端末のマルウェア感染と拡大
脅威 | 影響度 | 攻撃に遭う可能性 | 対策の緊急性 | 対策方法 | |
4 | テレワーク端末のマルウェア感染と拡大 | 大 | 中 | 中 | VPN接続強制、リモートデスクトップ接続 |
会社端末を持ち帰るテレワークの場合
さてVPNサーバに続き、テレワーク端末側のリスクに注目してみましょう。
まずは会社支給のノートPCなどの端末をユーザーが持ち帰ってテレワークを行う場合です。会社支給の端末とVPNの仕組みがあれば問題なさそうですが、VPNに接続されないと危険です。VPNにログインする前に、故意か不注意かで、悪意のあるWi-Fiへや危険なサイトに繋がってマルウェアに感染したり、ログも残らないというリスクです。このため、インターネットに接続するときはVPN接続を自動的に強制したり、社外に持ち出した端末も、常に社内ネットワークに繋がれた状態を保つ対策が有効となります。
BYODの場合
また、急に全社テレワークが決まって、会社支給のテレワーク用端末が無かった場合もあると思います。仕方なく会社のデスクトップPCの筐体をタクシーで家に持ち帰ったとか、梱包して配送したというお話しも伺いました。仮にうまく端末を調達できたとしても、購入して従業員宅に直送すれば良いわけではなく、セキュリティソフトやその他必要なソフトウェアのライセンスを購入して標準の利用環境に合わせキッティングする、などと、多くの会社で大変な思いをしたのではと思います。そこでやむを得ず、BYODを一時的に許可したり、個人の判断でそのような対応を取った場合もあったかもしれません。従業員の私物の端末が適切なセキュリティ対策がされているかはわかりませんので、マルウェア感染や情報漏洩が心配ですね。
そこで、BYOD端末からでも安全に社内にアクセスする方法として、リモートデスクトップを利用することが考えられます。会社のデスクトップPCに、BYOD端末からリモートデスクトップ接続し、遠隔操作で仕事をする方法です。こうすれば、実データやシステムを端末から直接扱う必要がなく、BYOD端末が紛失しても情報が漏洩することはありません。さらに、リモートデスクトップ通信だけをSSLなどで暗号化して通すアプリケーションVPNを利用すれば、内部ネットワークにBYOD端末が入ることもないので、端末からマルウェアが拡散することも無いので安心です。
リモートデスクトップでも残るセキュリティリスクとは
ただし、リモートデスクトップでも残るセキュリティリスクがあります。BYOD端末が遠隔操作マルウェアに感染していると、ID、パスワードの入力内容がキーロガーで取得されたり、画面のスナップショットを取られ、攻撃者がなりすましでログイン出来てしまうリスクです。そこである会社では、従業員にBYOD端末の購入補助金を出し、見返りとして会社のセキュリティツールを導入してもらうことで必要なセキュリティ対策を義務付けたという事例もありました。仮想デスクトップとVPNを併用しても万全ではないことも、是非覚えておいてください。
まとめ・番外:コロナ禍が一段落したら見直したい境界領域防御
今回は、テレワークの脅威と対策を4つご紹介しました。VPNサーバではセキュリティ上、認証という砦が重要です。1.認証を強化したり、2.脆弱性を利用して認証を迂回されないよう、対策が必要です。また、3.可用性のために通信混雑を回避するインターネットブレイクアウトの検討も必要でしょう。そして端末側では、マルウェア感染を防ぐために、4.ユーザーが常時VPN接続を遵守できる対策や、BYODを許可する場合にはリモートデスクトップ接続という選択肢もあります。さらに端末そのもののセキュリティ対策も考慮しておく必要があります。
脅威 | 影響度 | 攻撃に遭う可能性 | 対策の緊急性 | 対策方法 | |
1 | 認証の突破 | 大 | 中 | 中 | 多要素認証 |
2 | 脆弱性を突いた認証バイパス | 大 | 大 | 大 | 迅速なセキュリティパッチの適用 |
3 | VPNサーバの処理能力不足 | 大 | ー | 大 | インターネットブレイクアウト |
4 | テレワーク端末のマルウェア感染と拡大 | 大 | 中 | 中 | VPN接続強制、リモートデスクトップ接続 |
番外:コロナ禍がひと段落したら頼りたいZTNA
コロナ禍が一段落した後もテレワークが継続する場合は、VPNからZTNA(ゼロトラストネットワークアクセス)に切り替える検討をして頂いても良いかもしれません。
ZTNAとはネットワークの案内人です。社内ネットワークをテーマパークに例えます。VPNの場合、パークの入口でチケットを見せればパーク内ではやりたい放題ができてしまいますが、ZTNAでは、まずはパークの外の観光案内所に行き、そこで案内人がアテンドし、パークを含めた全ての目的地についてまわる、といった感じです。パーク内で自分が利用できるアトラクションはすでに決められていて、「顔パス」で通してくれます。ただし、必要のないアトラクションには触ることもできません。行動は常に見られており、おかしな行動をしようものなら、すぐに注意されます。やましいことがあれば邪魔な存在ですが、善意の利用者で迷いなく行動でき、ルールを意識せずに守ることができるため、利便性が増します。
このZTNAも、サイバーセキュリティと利便性が向上する素晴らしい仕組みです。VPNとは全く異なる方法で社内ネットワークへのアクセスを安全にします。ただし、新しい技術なので、VPNを利用する全ての利用シーンでZTNAが有効であることをしっかり確認してから切り替える必要があります。ZTNAの仕組みは別の機会に触れさせていただきます。
この記事を書いたスタッフ
長谷川 まり
長谷川 まり