プロトコル運用の調査:FTP 公開 36%/LDAP 露出 41%/SSH 露出 64% ・・・

36% of orgs expose insecure FTP protocol to the internet, and some still use Telnet

2022/08/10 HelpNetSecurity — ExtraHop Benchmarking Cyber Risk and Readiness レポートでは、SMB/SSH/Telnet などの安全ではないプロトコルや、きわめて機密性の高いプロトコルを、かなりの割合の組織が、インターネットに公開していることが明らかにされていいる。意図的であれ偶発的であれ、こうした公開は、サイバー攻撃者にネットワークへの容易な侵入口を提供し、あらゆる組織の攻撃対象領域を拡大することになる。

ロシアによるウクライナ侵攻以来、世界中の政府やセキュリティ専門家は、サイバー攻撃の活動が著しく増加していることに気づいている。Cybersecurity and Infrastructure Security Agency (CISA) をはじめ、ENISA/CERT-EU/ACSC/SingCERT などの政府機関は、有害なサイバー侵入の可能性を減らすことから始め、全体的なセキュリティ態勢の強化に、注力するよう企業に強く働きかけている。これらの機関による重要な勧告の1つは、組織における不要なポートや、安全ではないプロトコルを、すべて無効にすることだ。

この、ExtraHop の最新レポートは、同社が実施した企業 IT 環境の分析結果であり、オープンポートや機密プロトコルをベースにして、企業のサイバー・セキュリティ態勢を評価している。それにより、セキュリティと IT のリーダーたちは、他の組織と比較に基づき、リスク態勢や攻撃対象の可視性を確認できる。


安全ではないプロトコルの露出

SSH は最も露出度の高いセンシティブなプロトコル:Secure Shell (SSH) は、リモート。デバイスに安全にアクセスするための、優れた暗号技術を備えたプロトコルとして設計されている。それは、最も広く使用されているプロトコルの1つであり、企業内のデバイスへのアクセスや制御を狙う、サイバー犯罪者が好んで悪用するターゲットになっている。64% の組織が、このプロトコルを公開するデバイスを、少なくとも1つは持っている。

LDAP の露出度が高い:LDAP (Lightweight Directory Access Protocol) は、ベンダー・ニュートラルなアプリケーション・プロトコルであり、分散したディレクトリ情報を整理し、問い合わせがしやすいように維持するためのものだ。たとえば Windows システムは、Active Directory のユーザー名を検索するために LDAP を使用している。デフォルトでは、これらのクエリーは平文で送信されるため、攻撃者によるユーザー名の発見が生じることになる。41% の組織で、少なくとも1つのデバイスが LDAP をパブリック・インターネットに公開しており、この機密性の高いプロトコルは、非常に大きなリスク要因となっている。

データベース・プロトコルの公開が攻撃への扉を開く:データベース・プロトコルは、ユーザーおよびソフトウェアがデータベースとやり取りし、情報の挿入/更新/取得などを行うためのものだ。公開されたデバイスがデータベース・プロトコルをリッスンしている場合、データベースも公開されることになる。24% の組織で、少なくとも1つのデバイスが、Tabular Data Stream (TDS) をパブリック・インターネットに公開している。このデータベースと通信するための Microsoft のプロトコルは、データを平文で送信するため、傍受される危険性が生じる。

ファイル・サーバーのプロトコルの危険性:4種類のプロトコル (file server protocols/directory protocols/database protocols/remote control protocols) を見てみると、攻撃者がファイルを移動するファイル・サーバプロトコルで、大半のサイバー攻撃が発生していることが分かる。組織の 31% で、少なくとも1つのデバイスが、Server Message Block (SMB) をパブリック?インターネットに公開している。

FTP は安全とは言えない:File transfer protocol (FTP) は、フルサービスのファイル・アクセス・プロトコルではない。FTP は、ネットワーク上でファイルをストリームとして送信するだけであり、実質的には何のセキュリティも提供していない。FTP は、ユーザー名/パスワードを含むデータを平文で転送するため、データの傍受も簡単である。少なくとも、2つの安全な代替手段があるにもかかわらず、36% の組織で、少なくとも1つのデバイスが、このプロトコルをパブリック・インターネットに公開している。

プロトコルの使用状況は業界ごとに異なる:業界ごとに、データの保存やリモートユーザーに関する要件が異なるため、それぞれのテクノロジーに投資することになる。そして、全業種を合計すると、最も多く公開されているプロトコルとして SMB が浮上してくる。

  • 金融サービスでは、28% の組織が SMB を露出している
  • ヘルスケアでは、51% の組織が SMB を露出している
  • 製造業では、22% の組織が SMB を露出している
  • 小売業では、36% の組織が SMB を露出している
  • 地方自治体では、45% の組織が SMB を露出している
  • テクノロジー分野では、19% の組織が SMB を露出している

企業は引き続き Telnet を活用している:リモートデバイスに接続するための、昔からのプロトコルである Telnet は、2002年以降において非推奨とされている。しかし、12% の組織では、このプロトコルをインターネットに公開しているデバイスが、少なくとも1つは存在する。ベストプラクティスとして、IT 組織は、ネットワーク上の全域で Telnet を無効化する必要がある。

ExtraHop の CISO である Jeff Costlow は、「ポートとプロトコルは、基本的に、攻撃者にネットワークの探索を許し、損害を生み出すためのドアや廊下である。そのため、ネットワーク上で動作しているプロトコルを知り、その脆弱さを知ることは、きわめて重要なことである。それにより防御者は、リスクの許容度について十分な情報を得た上で、意思決定を行うことが可能になる。具体的に言うと、サイバー・セキュリティへの対応力を向上させるために、環境内のソフトウェア/ハードウェアのインベントリを継続的に維持し、ソフトウェアに対する迅速かつ継続的なパッチ適用を実施し、リアルタイムでの洞察と分析用のツールへの投資といった、一連の行動を取ることができる」と述べている。

ポートとプロトコルの話ですが、運用上いたし方なく公開するものと、不注意から露出しているものでは、だいぶ性質の異なるものになります。文中の、「CISA/ENISA/CERT-EU/ACSC/SingCERT などの政府機関による重要な勧告の1つは、組織における不要なポートや、安全ではないプロトコルを、すべて無効にすることだ」という部分ですが、どこまで浸透しているのでしょうかね。よろしければ、ExtraHop の Benchmarking Cyber Risk and Readiness を、ご参照ください。

%d bloggers like this: