「Morphisec」ライターチームです。
昨今、VPN利用増加に伴い、VPN製品の脆弱性を悪用した攻撃が増加しています。脆弱性を突くことにより、認証情報なしに内部ネットワークに侵入することができるため、重要データの閲覧・窃盗から、ランサムウェアを実行させることも容易になります。
この記事では、VPNの運用における脆弱性の課題や解決策、認証情報を安全に保つ方法などを解説しています。
- Morphisecのページから資料を無料ダウンロード
脆弱性を悪用した攻撃を阻止するMTD技術
目次
日本では最近のコロナ騒ぎでテレワーク環境が整備されつつあり、2020年3月時点で、東京五輪が開始される頃に整備が完了すると思われていた働き方改革が前倒しになっています。
近い将来にはテレワークの普及に伴い、ゼロトラストなネットワークが築かれるため、なりすましや不正侵入に対するセキュリティ対策がより求められるでしょう。
海外では、そのようなセキュリティ対策のためのツールを悪用した攻撃が発生しているため事例をご紹介します。
テレワークに欠かせないVPNを悪用した攻撃!セキュリティ事故が発生
米・ハードウェア企業が展開するVPN製品の脆弱性を悪用した攻撃が複数の企業で発生しました。脆弱性を突くことにより、認証情報なしに内部ネットワークに侵入することができます。これにより、重要データの閲覧・窃盗から、ランサムウェアを実行させることも容易になります。
本脆弱性のパッチ適応はすでに配布されていますので、本製品をご利用されている方は早急なパッチ適応を推奨します。また、リモートワークの拡大によりVPN利用者やVPNサーバが各拠点に増えることから、運用の負荷が上がることが課題となります。
現在海外ではVPNの運用とセキュリティをさらに向上させる技術としてSDP(Software-Defined-Perimeter)が注目されつつあります。
二要素認証のワンタイムパスワードを不正取得できるマルウェアの登場
なりすましが増えるゼロトラスト社会では多要素認証は欠かせない技術となります。しかし、その認証要素の一つを不正に入手できるマルウェアを、オランダのサイバーセキュリティ企業ThreatFabrick社のリサーチャーが発見しました*2。
マルウェアはバンキング型のトロイの木馬の亜種「Cerberus」の亜種であり、ワンタイムパスワードを発行するAndroidアプリ「Google Authenticator」の不具合を突く新機能を実装しました。
Google Authenticatorにはスクリーンショットを許可されていたため、本マルウェアは表示されるワンタイムパスワードのスクリーンショットを取得するだけで二要素認証を突破できます。
ワンタイムパスワードにかかわらず、海外では指紋や顔などの生体認証も盗まれ悪用されています。
指紋認証はゼラチンを固め、指紋情報を搾取し突破されてしまうネット記事などが紹介されています。また、顔認証については3Dプリンターの技術が発展することで、将来的には突破されるのではないかなど筆者は推察しています。
そのため最近では、新たな認証方法として筆跡・筆圧やキーストロークの振る舞いなどといった、本人の癖などを取り入れた認証方法も開発されてきているようです*2。
- Morphisecのページから資料を無料ダウンロード
VPNのセキュリティ対策
脚注(参考文献一覧)
※1 threatfabric.com|2020 - Year of the RAT(参照日:2020-3-15)
※2 verifyoo|Next-Gen Password-Less Verification(参照日:2022-01-28)
