No327 VPNが狙われる３つの理由

2023年の9月に、以下の文書が公開されました。
公開したのは、筆者のごひいきであるIPA（情報処理推進機構）です。

　コンピュータウイルス・不正アクセスの届出事例 ［2023年上半期（1月〜6月）］
　https://www.ipa.go.jp/security/todokede/crack-virus/ug65p9000000nnpa-att/2023-h1-jirei.pdf
（この文書はやや専門家寄りですので、一般の方がご覧になってもわかりづらい点が多々あります。）

この中で、VPN装置の脆弱性を突いた攻撃が目立っているという話が出ていました。
今回はVPN装置を中心として不正侵入を防禦する方法についてお話をします。


1. VPNとは何か？

このメルマガも既に6年半ほど続いていますので、同じような話を再登場させるケースがあります。
VPNについても、コロナ禍で急激にリモートワークが増えた三年前に書いています。

　No155 在宅勤務を支えるVPNをご存知ですか？（2020年4月配信）
　https://note.com/egao_it/n/nd36db106749b

さて、VPNは Virtual Private Network の略です。

直訳すれば「仮想的なプライベートネットワーク」なのですが、なんのこっちゃ？と言わんばかりのわからなさですよね。
「仮想的」もわからないし「プライベートネットワーク」も馴染みのない言い回しです。

ものすごく端折って言うと、「自宅にいながら組織内部の秘密情報を見たり書いたりできる」技術です。

もちろん、無関係な人に組織の秘密情報を簡単に見られては困ります。組織メンバは接続できるけど、それ以外の人は接続できないという仕組みが必要ですが、VPNはそれを実現しています。
具体的には、組織メンバが使うときには接続情報を使い、正しい利用者であることを確認するのです。
接続時には、IDとパスワードだけの場合もありますが、スマホによる多重認証や電子証明書といった接続情報を利用します。

ですから、VPNの接続情報を不正にでも入手できれば、その組織の秘密情報にアクセスできてしまうわけです。

VPNの接続情報を奪われることがいかに危険かご理解いただけると思います。
接続情報が漏れると企業の存続すら危ぶまれる可能性があるのです。

ですが、どうしてVPNがことさら狙われるのでしょうか？


2. 侵入するには侵入路を確保しないといけない

アクション映画などで、主人公たちが敵の本拠地に侵入する方法を話すシーンなどがあります。
地図を広げて、どこから侵入すべきか、どんな風に警備を無効化するか、といった話をするわけです。

換気口や排水口などを使うシーンが良く出てきますよね。
こういった侵入路はたいていの建物にある構造ありますものね。

組織のネットワークに侵入しようとする場合も侵入者は同様に考えます。
どのルートから侵入するのが一番バレにくいかも考えます。
犯罪者側から見るとVPNを使って侵入するのはラクで安全な方法なわけです。


3. いろんな侵入路がある

侵入経路として考えるべきルートはVPNだけではありません。

組織が持っている内部情報にはいくつかの方法でアクセスできます。
　1. Webページ（公開ページ）
　2. Webページ（非公開ページ）
　3. リモートデスクトップ
　4. VPN
　5. ssh

このうちWebページは、公開ページと非公開ページに分かれます。
公開ページはむしろたくさんの人に見て欲しいページですから、社外からも当然アクセスできるようにしておきます。

非公開ページは社内通達など組織内メンバだけが見ることのできるページですから、社内のパソコンからしか閲覧できないようにしておきます。

余談
　WebページへのアクセスにはHTTPとHTTPS（暗号化付きのHTTP）の二種類があります。
　HTTPSは経路を暗号化してくれますが、アクセスしてきた人が正しいことの
　チェック機構はありません。つまり、不正アクセスの防止はできません。
　（厳密には仕組みはあるんですが、ほぼ利用されていません）

リモートデスクトップというのは他のパソコンで動いている画面を手元のパソコンに転送する機能を言います。
ネコやイヌを飼っている方で、ネットワークカメラを自宅に設置する方がいますが、あれのコンピュータ版みたいなものです。
コンピュータ自身に現在表示している画面内容を教えてもらって、それを手元の別のパソコンで再現するという仕組みです。

このリモートデスクトップ、一見ネットワークとは関係なさそうですが、コンピュータ間の通信で実現しているわけですから、侵入路となり得る要件を満たしています。

ただし、ただしですね、リモートデスクトップ機能は、インターネットからのアクセス制限に使うことは全くオススメできません。いえ、使わないでください。

リモートデスクトップというほは、サーバなど別室に設置したコンピュータをラクに繰作するために考案されたもので、組織内で使うべきプロトコル（通信手順）なのです。
要は、情報セキュリティ対策の視点ではガバガバのプロトコルなのです。

次のVPNは上記の通りですので、省略します。

最後のsshですが、これは主にシステム開発者が使うアクセス方式です。
これもシステム開発者が必要と言わない限り、使うべきではありません。

余談：
　sshは、CUI（シーユーアイ。Character User Interface）方式になります。
　映画などで文字だけのコンピュータ画面が出てくるシーンがありますよね。
　あれがCUIです。
　「なんでまた文字だけで？」と思われるでしょうが、CUIを好むシステム屋は多いです。
　証跡が残しやすい、マウスと違って繰作ミスしにくい、繰作端末を選ばない、といったメリットがあるためです。
　ちなみに筆者もCUIをこよなく愛する一人です。


4. 侵入路を減らすのがセオリー

上記の５つの侵入路となりうるルートうち、どれを活かすかは業務の要請によります。
可能な限り使えるルートを減らすのがセオリーです。

極端な話、インターネット接続を全て拒否すれば、絶対に攻撃は受けません。
ですが、これではメールもWebも見られなくなりますので、現実的ではありません。

じゃあ、VPNを使うか？といった妥協点を探ることがセキュリティ対策のキモなのですね。


5. VPNが狙われる３つの理由

さて、最初のIPAの資料の話に戻ります。
どうして、VPNがやたらと攻撃対象となるのでしょうか？

これは、侵入者にとって好都合な点が多いからです。

　1. VPN装置の設定が甘い
　2. VPN装置のアップデート未実施
　3. VPN装置の種類（メーカ数）が少ない

まず、VPNという方式のプロが少ない点があります。

VPN装置はここ数年で爆発的に普及したので、他のネットワーク機器（ルータやファイアウォール）に比べると詳しい人がめちゃくちゃ少ないのです。

設置する側にとっても、こういった機器の設置は難しいものです。どの設定をどう変更するとどこに影響があるのか？それを防ぐには何をすべきなのか？といったノウハウは一朝一夕に溜められるものではありません。
設置する側も失敗を含めた経験を重ねることで、少しづつレベルアップできるものです。それには経験と時間が必要です。

それがない状態では、設置をする側もおっかなびっくりです。
うかつな設定変更をしてトラブルになっても困りますので、標準設定のままで設置するのですが、それが全てのケースで正しいはずもなく、無駄や無理のある設定のままで使われる可能性が残ります。

次に、VPN装置のアップデートプログラムが適用されていないケースが多い点です。

VPN装置もコンピュータ機器ですので、Windowsと同様に後になってバグや脆弱性が見つかります。
VMN装置に限りませんが、こういった共有機器のメンテナンスが行われていないケースが非常に多いのです。メンテナンスが必要と思っていない組織もたくさんあります。

つまり、導入後は全くメンテナンスできていないVPN装置が世の中にゴマンとあるわけです。

そもそも、VPN装置というのはかなり新しいネットワーク機器です。
ルータやファイアウォールといった製品に比べればずっと新しい製品です。

一般にコンピュータ関連機器は年数が経つにつれてバグや脆弱性は減り、動作も安定してきます。
メーカ側は動作を安定させるためにも、新製品であっても旧機種用のプログラムをできるだけ流用します。その方が最初から品質の良い製品になるからです。

逆に言うと発売から間もない（または利用者が少ない）機器や、大巾なリニューアルを施した機器には内包しているバグ（や脆弱性）が多いのです。

つまり、VPN製品にはまだまだバグがたくさん存在しているということです。

そんなVPN装置のアップデートプログラムを適用しないとどうなるかは、想像にかたくありません。
これがVPNを狙い打ちされる二つ目の理由です。

三つ目は、VPN装置の種類（メーカ数）が少ない点です。

バグや脆弱性というのは、製品に依存します。

全く別のメーカの全く別の機器に同じバグがあることなどまずありえません。

犯罪者といえど、侵入路を見つけ出すのはかなり手間のかかる作業です。

ルータやファイアウォールのようにたくさんのメーカがたくさんの製品を出していて、しかも長期間販売されていてバグが少ないとなると、侵入方法を見つけるだけでも大変です。

一方で、VPNのように売れている製品種類が少なく、まだ潜在するバグも多いとなると、侵入路もたやすくを見つけられるというものです。


6. まとめ

IPAの資料によると、2023年上期もVPN装置の脆弱性を狙って企業に侵入しているケースが多く報告されています。

VPN装置が狙われるのには理由があります。

一つ目はVPN装置の設置時の技術者不足により、初期設定が不適切な点、二つ目はアップデートがされていない組織が多い点、三つ目は攻撃対象となる機器の種類が少なく、攻撃側のノウハウ蓄積が容易な点、の三つです。

今時のサイバー攻撃はすご腕ハッカーの腕試しなどではなく、反社会勢力の事業がほとんどであり、経済犯です。時間あたりの収益を上げる必要があります。いかに効率良く稼ぐかはとても大切なのです。

このうち、VPN装置のアップデートを確実に行うことが一番効果的で誰にでもできる対策となります。担当者を決めて、週に一回はアップデートの有無を確認しましょう。

また、VPNに限らず不必要なネットワーク機能は使わないようにします。
特にリモートデスクトップやsshは未使用なら、ルータ側で入ってこれないように改めて設定を行っておくべきです。（通常は初期設定で無効になっています）

今回はVPNが狙われやすい理由についてお話をしました。

次回もお楽しみに。


Content-Disposition: form-data; name="updateEgaoit"