NSA, CISA share VPN security tips to defend against hackers (edited)
2021/09/28 BleepingComputer — 米国の CISA (Cybersecurity and Infrastructure Security Agency) と NSA (National Security Agency) は、VPN ソリューションのセキュリティを強化するためのガイダンスを発表した。米国の National Security Agency は、「複数の国家 APT (Advanced Persistent Threat) アクターたちが、共通の脆弱性 (CVE) を武器にして、脆弱な VPN デバイスにアクセスしている」と述べている。
これらの機関は、過去に VPN システムのバグを悪用して、認証情報の盗用、および、コードの遠隔実行、暗号化されたトラフィックの暗号化の弱体化、暗号化されたトラフィックセッションのハイジャック、デバイスからの機密データの読み取りなどを行ってきた、国家支援脅威アクターからの攻撃に対する、組織の防御力を向上させるために、この文書を作成している。
この文書では、業界標準や強力な認証資格を使用するための、ベスト・プラクティスに従った VPN ソリューションを選択するための方向性が示されている。企業としては、既知の脆弱性に対して迅速にパッチを提供してきた、実績のある信頼できるベンダーの製品を選択する必要がある。VPN を強固にするための一般的なルールとして、以下の方法でサーバーの攻撃対象を減らすことが推奨されている。
・強力な暗号化と認証を設定する
・必要な機能だけを搭載する
・VPN へのアクセスおよび、VPN からのアクセスを保護/監視する
NSA の Director of Cybersecurity である Rob Joyce は、BleepingComputer へのメールで、「リモートアクセス VPN が悪用されると、大規模な侵害へのゲートウェイとなり得る。この攻撃経路は、政府の支援を受けたハッカーたちを魅了している。彼らは、VPN 機器の脆弱性を利用して、さまざまな国の政府機関や防衛企業に属する、ネットワークに侵入している」と、BleepingComputer に宛てたメールで述べている。
今年の4月に、サイバーセキュリティ企業である FireEye は、中国由来と思われる2つの国家支援グループが、VPN アプライアンス Pulse Connect Secure のゼロデイ脆弱性を利用し、米国の DIB (Defense Industrial Base) のネットワークに焦点を当てた、攻撃を行ったというレポートを発表した。
同じ頃、NSA と CISA は、ロシア対外情報庁 (SVR) に所属する、APT29/Cozy Bear/The Dukes と呼ばれるハッカーたちが、標的とするネットワークへの初期アクセスのために、Fortinet と Pulse Secure の VPN デバイスの脆弱性を悪用し、現在も悪用し続けていると警告した。
また、今年の5月に英国 National Cyber Security Centre (NCSC) が発表した勧告では、SVR のハッカーたちが悪用した脆弱性のリストに、Cisco などのネットワーク機器ベンダーのアプライアンスが追加されている。
その一方で、ランサムウェア・ギャングたちも、この種のネットワーク・アクセス手段に大きな関心を示している。これまでに、Fortinet/Ivanti (Pulse)/SonicWall のVPN ソリューションのバグを悪用したケースは、少なくとも7件ある。
Cring/Ragnar Locker/Black Kingdom/HelloKitty/LockBit/REvil/Conti などのランサムウェアは、VPN のセキュリティ問題を利用して、数十の企業に侵入しているという。
あらゆる局面で、第一防衛ラインとしてネットワーク境界を守る VPN は、「北米の VPN 市場:まもなく 700億ドル規模に達する」にもあるように、ビジネスとしても順調に成長しているようです。ただ、そこだけに頼ると、Fortinet や Pulse Secure のインシデントのように、大きな被害を被ることになりかねません。VPN に頑張ってもらいつつ、ゼロトラストへと向けて、ゆっくりと進んでいくのでしょう。
IoT OT Security News 