リモート環境を脅かすVPN機器を狙ったサイバー攻撃対策
2020年は、コロナウイルスが世界的に大流行となった年となりました。多くの国で安全な生活を確保するため通常生活の営みが停止し、企業や組織においては、テレワークのリモート/在宅勤務を導入するようになりました。企業や組織が突然の勤務環境の変化に適応しようと模索する中、サイバー攻撃者は、リモート勤務環境の脆弱性を悪用して、社内ネットワークの外からアクセスするリモートワーカーに、フィッシング、マルウェア、APT攻撃などをしかけます。
突然のテレワークへの移行に、IT管理者は社員のリモート勤務環境やBYODなどへの十分なセキュリティ対策もままならないまま、攻撃者は、例外、もしくは暫定的に処理されたセキュリティ対策の隙をついて、社内ネットワークへの侵入を試みるのです。
最近では、VPNの脆弱性を狙った攻撃が活発化しています。リモートワーカーは社内ネットワークへ安全に接続しようとVPNを使用しますが、逆に攻撃者はVPNを社内ネットワークへの侵入の糸口として、その後展開する多段階攻撃の足場を得ようします。攻撃者がVPN接続を介してネットワークに侵入すると、他の脆弱なターゲットを見つけ、マルウェアをインストールするバックドアを作成します。侵入後は、特権アカウントなどの資格情報を窃取し、社内ネットワーク内のすべてのリソースから企業の機密情報へアクセスできるようになります
また、VPNやRDPを介しての「新型ランサムウェア」攻撃も増加傾向にあります。新型ランサムウェアは特定の組織を狙う標的型にシフトし、窃取した機密情報データの暗号化のみならず、身代金の要求に応じない場合に窃取したデータ情報を公開する二重脅迫の手法に進化しています。企業が受ける機密情報漏洩事故等によるダメージは計り知れないものとなります。
このように、リモート環境を脅かすVPNを標的とするサイバー攻撃から社内ネットワークを保護するには、次の3つの対策を徹底する必要があります。
VPN機器を狙ったサイバー攻撃への3つの対策
1.VPNサーバーのパッチ適用
ネットワークデバイスとリモート環境で使用するデバイスを最新のパッチとセキュリティ構成で更新し、攻撃者からの侵入を防御します。
今までVPNサーバーにパッチが適用されなかった理由として、VPNに対するパッチ適用の必要性がなかったことがあげられます。VPNの使用用途といえば、主に出張者や、残業として自宅から勤務する社員向けに限られていたため、VPNトラフィックは、ネットワークの総トラフィックに対しわずかな割合でしかなく、IT管理者がVPNサーバーへのパッチ適用作業を先延ばしにしてしまう傾向にあったのです。また、昨今の突然のテレワーク移行により、多くの企業はVPNサーバーにパッチ適用後のテスト実施や展開時間の余裕がなかったことも理由の一つとしてあげられます。
一方で、ゼロデイ攻撃を行う攻撃者からの侵入を防止および検出するには、定期的に「脅威ハンティング」を実行する必要があります。脅威ハンティングは、ネットワークを探索して攻撃者による脅威の兆候があるかどうかを確認するプロセスです。 ネットワーク内のシステムからPingなどのアクティビティを探し、不審なリソースアクセスまたはログオンを探知することで、ネットワークに侵入した攻撃者の痕跡を見つけることができます。
2.VPN機器への二段階認証の実装
VPN接続にプライマリ認証(ログイン用のユーザー名とパスワード)のみを設定している場合、それら資格情報が盗まれるとデータ侵害のリスクにさらされます。そのため、防御の層を厚くするために、許可された人だけがVPNにアクセスできるよう二段階認証を設定します。
具体的には、ユーザーのIDを検証するために、追加の認証レイヤー(セキュリティトークンの使用など)でプライマリ認証(パスワードなど)を強化します。通常、対象ユーザーだけの所有、知識、固有性など、元のログイン方法と異なるカテゴリーを使用します
3.VPNのログ監視
攻撃者がVPN接続を介して社内ネットワークに侵入すると、社内ネットワーク上のすべてのリソースにアクセスできるようになります。他の脆弱なマシンをスキャンし、デバイスを侵害、そして管理者権限の資格情報や機密データを盗み、その他有害な操作を実行します。
DDoS攻撃では、VPNおよび関連するファイアウォールのリソースにダメージを与えることが容易です。攻撃者は、SYNフラグを設定した微量の伝送制御プロトコル(TCP)パケット、ACKフラグを設定したTCPパケットのバッチ、URGフラグを設定したTCPパケットのバッチを送信して、ファイアウォールをダウンさせることができます。また、この攻撃手法はVPN接続のボリュームしきい値に満たないため、検出が困難です。
SSLフラッド攻撃では、Webサーバーと同様に脆弱なSecure Sockets Layer(SSL)VPNに対し、大量のSSLハンドシェイク要求を行いVPNサーバーのリソースをダウンさせます。
上記のようなVPNを標的とした攻撃に備えるには、VPNの使用状況を監視(VPNのログを監視)することが重要です。各VPNユーザーのセッションアクティビティを定期的に監視し、異常なVPN接続を検知します。または、攻撃の兆候をいくつかの具体的な手順「一般的なパターン」として定義した上で、監視を行うことも有効です。
具体的には、様々なデバイスのVPN接続を監視し、しきい値を正確に調整して異常なアクティビティを確認します。ただし、しきい値とレート制限の調整には注意が必要です。適切なしきい値を設定するには、通常のVPNトラフィック量や数を把握した上で、推測、および決定することが必要です。従来ですと、これらパラメーターの測定は、SIEM/ログ管理ツール等を使用して簡単に実行できますが、現時点VPNにアクセスする社員の数が圧倒的に増えたため、接続数とボリュームの変化、および使用パターンを調査し、それら値や傾向を顧みながら異常を正確に把握できる行動分析ソリューションも必要です。
本ページでは、今多くの企業が直面するVPNに関するセキュリティ課題に対し、 ManageEngine EventLog Analyzer、およびFirewall AnalyzerのVPNログ監視機能を中心とした機能比較についてご紹介します。
■EventLog Analyzer/Log360 とFirewall AnalyzerのVPN機器ログ監視/管理機能の違いについて
【主な用途に応じた製品の選択】
●VPNログの可視化とUTMの管理 ⇒ Firewall Analyzer●VPNログの可視化と他のNW機器およびサーバーやPCのログを統合的に管理 ⇒ Log360、もしくはEventLog Analyzer
EventLog Analyzer/Log360とFirewall Analyzer製品における
VPN監視実施可能項目比較表
| 実施可能項目 |   |  | |
|---|---|---|---|
| 1 | VPNセッションのレポート | 〇 | 〇 |
| 2 | VPNトラフィック量の可視化 | × | 〇 |
| 3 | レポートの出力形式 | PDF/CSV | PDF/CSV/XLSX |
| 4 | レポートのスケジュール設定 | 〇 | 〇 |
| 5 | アラート機能 | 〇 | 〇 |
| 6 | VPN機器以外との相関分析機能 | 〇 | × |
| 7 | 弊社NW監視製品OpManagerとの統合 | × | 〇 |
| 8 | アーカイブ機能 | 〇 | 〇 |
| 9 | ログのインポート機能 | 〇 | 〇 |
| 10 | ファイアウォールのポリシールール管理 | × | 〇 |
| 11 | サポート対象機器 | *Windowsコンピューター、Syslogデバイス、 各種アプリケーションなどに対応 | *サポート済みのFW/UTM/プロキシサーバー 対象機器一覧はこちらをクリック |
EventLog Analyzer、およびFirewall AnalyzerのVPN監視機能を用いて実際出力できるVPNレポート内容のサンプルは、以下よりダウンロードいただけます。誰にでも見やすくわかりやすい図解入りのVPN通信ログレポートを、是非その目でお確かめください。
■統合ログ管理ソフト「EventLog Analyzer」の製品ページ
■ファイアウォール/プロキシログ管理ソフト「Firewall Analyzer」 の製品ページ
■SIEMソフト「Log360」の製品ページ