新型コロナウイルスの蔓延に伴い、企業でのテレワーク導入が進み、緊急事態宣言が解除された今でもテレワークの安全性を確保するために多くの企業でVirtual Private Network(VPN)機器が利用されています[i]。しかしながら、VPN機器はインターネットへ露出しており、侵害が成功するとネットワーク内に侵入できてしまうため、攻撃者にとって恰好の的であると言えます。
本稿では被害が拡大しているVPN機器に対する攻撃について、代表的な攻撃手法と直近の事例、そして有効な対策をご紹介します。
VPN機器への攻撃の影響の大きさ
独立行政法人情報処理推進機構(IPA)から発行されている「情報セキュリティ10大脅威 2024」[ii]において「テレワーク等のニューノーマルな働き方を狙った攻撃」が4年連続でランクインしており、依然としてVPN機器への攻撃の影響の大きさがうかがえます。また、2024年5月に発表された、Zscaler社「Zscaler ThreatLabz 2024 VPN Risk Report」[iii]では、調査対象のうち56%もの組織が2023年において、1つ以上のVPN関連のサイバー攻撃を経験したと報告されています。
2023年にVPN関連のサイバー攻撃を経験した件数内訳
※引用:Zscaler社「Zscaler ThreatLabz 2024 VPN Risk Report」[iii]
また、警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」[iv]によると、昨今猛威を奮い続けているランサムウェア被害の感染経路についても「VPN機器からの侵入」が63%と最も多い結果となっています。
ランサムウェアの感染経路
※引用:警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」[iv]
VPN機器への代表的な攻撃手法
ブルートフォース攻撃
脆弱なパスワードやよく利用されるパスワードのリストを使用して、多数の認証試行を行い、不正アクセスを試みます。特に、脆弱なパスワードが設定されている場合に効果的です。
パスワードスプレー攻撃
よく利用されるパスワードを多数のアカウントに対して試行し、認証の突破を試みる手法です。この手法は一般的なブルートフォース攻撃とは異なり、単一のアカウントに対する試行ではないためアカウントロックが発生せず、攻撃の検知が難しい場合があります。
盗難された認証情報の悪用(フィッシング)
フィッシング攻撃を通じてユーザの認証情報を盗み、これを使用してVPN機器に不正アクセスする手法です。国内においても図のようにフィッシング攻撃は増加傾向にあり、引き続き警戒が必要です。
国内のフィッシング情報の届け出件数
※引用:フィッシング対策協議会「フィッシングレポート 2024」[v]
VPN機器の設定不備を突いた攻撃
管理者の設定ミスやデフォルト設定のまま使用されているVPN機器を狙った攻撃です。攻撃者は、デフォルトのパスワードや設定を利用して不正アクセスを試みます。
公開脆弱性の悪用
既知の脆弱性を悪用してVPN機器に侵入する手法です。代表的な例としてはOpenSSLのHeartbleed脆弱性(CVE-2014-0160)を利用した攻撃が挙げられます。
ゼロデイ(0-day)脆弱性を悪用した攻撃
ゼロデイ攻撃とは、ソフトウェアにセキュリティ上の脆弱性が発見された際、問題の存在やパッチ等の対応策が広く公表される前にその脆弱性を悪用して行われる攻撃を指します。例としては後述の直近の事例のように、リモートコード実行や認証バイパスを可能にするゼロデイ脆弱性を悪用した攻撃などが挙げられます。Google社「A Year in Review of Zero-Days Exploited In-the-Wild in 2023」[vi]によると、2023年に実際に悪用されたゼロデイ脆弱性は2022年の62件から97件へと50%以上増加していることに加え、VPN機器を含むセキュリティデバイスを対象とするゼロデイ脆弱性は最多の36件となっています。
悪用されたゼロデイ脆弱性の年別件数
※引用:Google社「A Year in Review of Zero-Days Exploited In-the-Wild in 2023」[vi]
話題となった事例
直近のVPN機器への攻撃で、影響が大きく話題となった事例について取り上げます。特にゼロデイ攻撃の事例が多く話題となっており、VPN機器へのゼロデイ攻撃の脅威が増していることがうかがえます。
VPN機器を対象とした大規模なパスワードスプレー攻撃
2024年4月にCisco社より、VPN機器に対するパスワードスプレー攻撃が2024年3月から世界的に増加していることが報告されています[vii]。Cisco社製品のみならず他社VPN機器、果てはVPNサービスに対しても攻撃が発生しています。Brutusといわれるボットネットによるものである考えられており、非公開の具体的なユーザ名を利用した攻撃が観測されていることから、ゼロデイ脆弱性の悪用を示唆している可能性があると言われています。
ArcaneDoor
ArcaneDoor[viii]は、2024年4月末にCisco社より報告されたCisco社製セキュリティデバイスCisco Adaptive Security Appliance(ASA)及びFirepower Threat Defense(FTD)を標的とする攻撃事例です。
国家支援を受けたと思われる攻撃者によって、ゼロデイ脆弱性を悪用して複数の政府ネットワークが侵入されていたことで話題となりました。この攻撃には以下2件のゼロデイ脆弱性が悪用されていました。
CVE-2024-20353 (CVSS:8.6)
リモートから無認証でデバイスを強制再起動し、DoS状態を引き起こすことが可能な脆弱性です。
CVE-2024-20359 (CVSS:6.0)
システムフラッシュメモリからファイルを読み込む際に任意のコードが実行可能な脆弱性です。
細工したファイルを配置することで悪用が可能ですが、管理者権限が必要となります。
初期侵害方法については判明していませんが、脆弱性の内容から永続化目的で利用されたと考えられています。
Operation MidnightEclipse
Operation MidnightEclipse[ix]は、Palo Alto社より4月12日に公開されたPalo Alto Networks PAN-OSにおけるゼロデイ脆弱性(CVE-2024-3400)を悪用した一連の攻撃です。
認証されていない攻撃者によって、リモートから対象機器上でroot権限による任意のコマンド実行が行われる可能性があり、攻撃活動も多く観測されていることから話題となりました。
CVE-2024-3400 (CVSS:10.0)
Palo Alto Networks PAN-OSのGlobalProtect Gateway機能(VPN機能)におけるOSコマンドインジェクション脆弱性です。GlobalProtect Gateway機能が有効となっている場合に、攻撃者は無認証かつroot権限で任意のコード実行が可能となります。
Ivanti社製品におけるゼロデイ攻撃事例
2024年1月10日にIvanti社(旧PulseSecure社)より報告された、同社製品Ivanti Connect SecureおよびIvanti Policy Secure におけるゼロデイ攻撃事例[x]です。米国サイバーセキュリティー・インフラセキュリティー庁(CIA)が政府機関へ緊急対応指示を出し、JPCERT/CCが国内においても侵害事案が発生している可能性を指摘するなど、大きな話題となりました。
当初Ivanti社より報告された脆弱性は以下の2件です。その後、パッチ作成過程や調査の中で複数の脆弱性が追加で公開されました。
CVE-2023-46805 (CVSS:8.2)
Webコンポーネントの認証をバイパスし、リモートから制限されたリソースにアクセス可能となる脆弱性です。
CVE-2023-21887 (CVSS:9.1)
認証された管理者がWebコンポーネントに対して細工したリクエストを送付することでコマンドインジェクションが可能となる脆弱性です。
対策
VPN機器への攻撃を防ぐためには、以下の基本的なセキュリティ対策が重要です。
強力なパスワードポリシーの導入
ブルートフォース攻撃やパスワードスプレー攻撃を防ぐために、強力なパスワードを使用することが必要です。パスワードの長さ、複雑さなどを求めるポリシーを設定します。また、同じパスワードを複数のアカウントで使用しないように徹底します。パスワードポリシーの一貫した適用と管理を適切に行うことが求められます。
多要素認証(MFA)の導入
認証情報の盗難や不正アクセスを防ぐために、MFAを導入することでセキュリティを強化します。ユーザ認証時にパスワードに加えて、トークンや生体認証などの追加要素を要求する設定にします。
定期的なセキュリティ評価と脆弱性スキャン
設定不備や潜在的な脆弱性を特定し、セキュリティの現状を把握するために、定期的なセキュリティ評価と脆弱性スキャンが必要です。外部のセキュリティ専門家によるペネトレーションテストや、自社での脆弱性スキャンを定期的に実施します。
最新のパッチとアップデートの適用
VPN機器の脆弱性を悪用した攻撃を防ぐためには、最新のパッチを迅速に適用することが不可欠です。ベンダーから提供されるセキュリティパッチやファームウェアの更新を定期的に確認し、速やかに適用します。
ネットワーク監視とログ管理
不審なアクセスや異常な活動を早期に検出するためには、ネットワークの監視とログ管理が重要です。セキュリティ情報イベント管理(SIEM)ツールを使用して、ログをリアルタイムで監視し、異常な活動を検出した際には迅速に対応します。大量のログデータの管理と分析には、高度な技術とリソースが必要となり、異常を検知してから迅速に対応する体制の確保が求められます。
ゼロトラストネットワークアクセス(ZTNA)の導入
ZTNAとは、ゼロトラストモデルに基づく、ネットワークセキュリティ方式のことです。社内外のネットワークの境界線をもとにアクセス制御を行うのではなく、境界線をソフトウェアで構築することで、アクセス先のリソースに応じてユーザやデバイスに対して動的にアクセス制御を行うことを可能にします。
VPN機器の運用として課題となりがちな、スケーラビリティの問題や脆弱性への対応、通信経路の問題、機器管理の分散管理などの課題を解決するソリューションとして注目されています。
ユーザ教育とセキュリティ意識向上
フィッシングなどのソーシャルエンジニアリング攻撃に対するユーザの意識を高めることが重要です。定期的なセキュリティトレーニングを実施し、最新の攻撃手法や対策について教育します。
おわりに
本稿では、被害が拡大しているVPN機器に対する攻撃について、代表的な攻撃手法と直近の事例、そして有効な対策をご紹介しました。
VPN機器への攻撃は今後も増加することが予想され、企業はこれに対抗するために包括的なセキュリティ対策が必要となっています。しかし、前述した対策を自社ですべて行うとなると、コストやリソース、運用面などで多くの課題があります。特に近年増加傾向にあるゼロデイ脆弱性を悪用した攻撃については特性上、根本的な対策が難しく、侵入後の拡大を防ぐための迅速なパッチ適用と侵害有無の確認、遮断対応などが求められます。
当社ではVPN機器を含む、インターネット接続環境におけるさまざまなセキュリティ対策と監視対応を行う、セキュアインターネット接続サービスや、ログのリアルタイム相関分析を行いセキュリティインシデントを早期に発見することができる、セキュリティログ監視サービスをご提供しております。
また、ゼロトラストモデルを実現するサービスとして当社ではZscaler Private Accessマネージドサービスやマネージドセキュリティサービスpowered by Prisma Access from Palo Alto Networks、Netskopeを取り扱っております。
他にも様々なSOC・マネージドセキュリティサービスやセキュリティ診断、不審メール対応訓練サービスなどのセキュリティ製品・ソリューションを取り扱っており、お客様のセキュリティ対策へのご支援をさせていただければと思いますので、お困りのことがございましたら遠慮なく当社の担当者までご相談ください。
[i] 【ネットワーク実態調査2023】リモートアクセスの利用状況と選定のポイント
https://www.netattest.com/NWresearch-remoteaccess_2023_mkt_sol
[ii] 情報セキュリティ10大脅威 2024
https://www.ipa.go.jp/security/10threats/nq6ept000000g22h-att/kaisetsu_2024.pdf
[iii] Zscaler ThreatLabz 2024 VPN Risk Report
https://www.zscaler.com/blogs/security-research/new-vpn-risk-report-56-enterprises-attacked-vpn-vulnerabilities
[iv]令和5年におけるサイバー空間をめぐる脅威の情勢等について
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R5/R05_cyber_jousei.pdf
[v]フィッシングレポート 2024
https://www.antiphishing.jp/report/phishing_report_2024.pdf
[vi]We’re All in this Together:A Year in Review of Zero-Days Exploited In-the-Wild in 2023
https://storage.googleapis.com/gweb-uniblog-publish-prod/documents/Year_in_Review_of_ZeroDays.pdf
[vii] Cisco warns of password-spraying attacks targeting VPN services
https://www.bleepingcomputer.com/news/security/cisco-warns-of-password-spraying-attacks-targeting-vpn-services/
[viii] ArcaneDoor - New espionage-focused campaign found targeting perimeter network devices
https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaign-found-targeting-perimeter-network-devices/
[ix] Operation MidnightEclipse、CVE-2024-3400 に関連するエクスプロイト後の活動
https://unit42.paloaltonetworks.jp/cve-2024-3400/
[x] CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways
https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways
