リモートアクセスVPNではランサムウェア攻撃を阻止できない

残念なことですが、また新たに、VPN環境で誤ってサイバー攻撃を許してしまう事象が発生しました。

Computer Weekly誌の記事によると、ランサムウェアSodinokibiの被害にあったのはTravelexという外国為替会社で、大晦日にITシステムが使用不能に陥りました。Pulse SecureのVPNサーバにパッチを当て忘れていたことが攻撃の原因となりました。

VPNは、今やサイバー犯罪者の格好の標的となっており、残念なことにこのような事が日常的に発生しています。
 

攻撃の的となる旧来型の手法

リモートアクセスVPNが初めて登場した30年前、この手法は極めて先進的でした。あらゆる場所からリモートアクセスが可能になるというコンセプトは、先見性があり画期的なものでした。しかし、当時はまだ多くのアプリケーションがデータセンタで実行されており、ネットワークセキュリティアプライアンスを多数投入すればデータセンタの保護も容易に実現できる時代でした。

しかし、今や社内アプリがクラウドに移行し、世界は一変しました。セキュリティ攻撃の98％はインターネットで発生するという事実を踏まえて、企業はユーザが期待する優れたユーザ体験を提供しなければなりません。

リモートアクセスVPNでは、サーバをインターネット上に公開する必要があります。ユーザは、ファイアウォールを通り抜ける静的なトンネルを使って企業ネットワークにアクセスします。企業を保護することを目的に構築されたこの同じテクノロジが、最新のマルウェアおよびランサムウェア攻撃に対して企業を脆弱にする原因となっています。

具体的に何が起こるのかを見ていきましょう。
 

マルウェア攻撃の手口

先週、Medium.comに ランサムウェアSodinokibiがVPN経由で侵入する方法Nを解説した記事が掲載されました。マルウェアがVPNの脆弱性を利用してネットワークに侵入する典型的な手口を以下にまとめます。:
 

1. サイバー犯罪者が、インターネット上でパッチの適用されていないリモートアクセスVPNサーバを検出する。
2. 有効なユーザ名やパスワードを使用せずに、リモートからネットワークにアクセスする。
3. 攻撃者がログやキャッシュされたパスワードを平文で参照する。
4. ドメイン管理のアクセス権を取得する。
5. ネットワーク全体を水平移動する。
6. 多要素認証（MFA）とエンドポイントセキュリティを無効化する。
7. ランサムウェア（Sodinokibiなど）がネットワークシステムに侵入する。
8. 企業に身代金を要求する。

VPNが与える悪影響

多くの企業は、リモートアクセスVPNが必要だと今でも考えています。うまく機能することもあるでしょう。しかし、多くの場合インターネットに向かって企業ネットワークを公開することにつながり、結果としてビジネスのリスクを高めています。
 

• パッチ適用の遅れや漏れ – VPNサーバへのパッチを漏れなく適用し、さらにはその作業時間を確保することは非常に困難です。IT部門は少ない人員で多くの仕事をこなさなければならず、人的リソースの問題がしばしばセキュリティの脆弱性につながります。

• ユーザがオンネットワーク状態になっている – リモートアクセスVPNのすべての問題の発端となっているのがこの事実です。VPNを使うには、ネットワークを検出可能状態にしておく必要があります。このため、企業が攻撃にさらされる可能性がでてきます。

• リスクの水平方向への急激な拡散 – ネットワークに侵入したマルウェアは、ネットワークセグメンテーションが実施されていたとしても（この対策自体も管理が複雑ですが）水平に移動して拡散していきます。前述のように、多要素認証やエンドポイントセキュリティといった他のセキュリティテクノロジーを無効化することもあります。

• 企業の評判の低下 – お客様は、企業が自分の情報を保護して最高レベルのサービスを提供するものと信頼しています。その信頼に応えるには、企業が自らを守り切ることが不可欠です。ランサムウェア攻撃のニュースは、ブランドイメージを傷つけます。

新手法の利点

VPNが及ぼす悪影響を受けて、それに代わるソリューションが模索されています。この状況から、ガートナー社は、「2023年までに、60％の企業がリモートアクセス用の仮想プライベートネットワーク（VPN）のほとんどを段階的に廃止し、ゼロトラストネットワークアクセス（ZTNA）に移行する」ようになると予測しています。

ZTNAなどの代替手段を検討している場合は、経営陣に提案する前に以下の点に留意することが重要です。
 

• ビジネスリスクの最小化 – ZTNAは、ネットワークアクセスを必要とせずに、ポリシーに基づいて特定のビジネスアプリケーションへのアクセスを許可します。また、インフラが外部に公開されないため、ZTNAではアプリやサービスがインターネット上で非公開になります。

• コスト削減 – 多くの場合ZTNAは完結したクラウドサービスとして提供されるため、サーバの購入やパッチの適用、管理などが不要になります。削減されるのは、VPNサーバにとどまりません。VPNインバウンドゲートウェイを全体的に縮小したり、完全に排除できます（外部ファイアウォール、DDoS攻撃、VPN、内部ファイアウォール、ロードバランサの排除など）。

• 優れたユーザ体験の提供– – 可用性の点では、VPNのインバウンドアプライアンスゲートウェイが限定的である一方、クラウド提供型のZTNAサービスはさらに向上しています。アプリケーション、デバイス、場所に関わらず、より高速でシームレスなアクセス体験をリモートユーザに提供します。

注： すべてのZTNAソリューションが同じというわけではありません。「ゼロトラスト」をうたいつつ、いまだにネットワーク上にユーザを配置し、ビジネスアプリをインターネットに公開するソリューションを提供するベンダも存在しますのでご注意ください。
 

リモートアクセスVPNのリプレースを検討されている方は、こちらのページをご覧ください。また、リプレース完了までの期間は、VPNサーバへのパッチ適用を忘れずに実施してください。また、攻撃に先手を打つために、以下の資料をご確認ください。 
 

• ランサムウェア攻撃を防御するZTNAの3つの方法
   
• ゼットスケーラーのインターネット攻撃対象領域分析ツールを活用し、ネットワークで外部に公開されてしまっている領域を特定してください。

Christopher Hinesは、Zscaler Private AccessおよびZ Appのプロダクトマーケティング責任者です。