2023年7月4日の朝、名古屋港コンテナターミナルで運用している名古屋港統一ターミナルシステム(NUTS)がランサムウェアに感染してシステム障害が発生しました。
これによりコンテナ搬出入作業が2日半ストップしサプライチェーンに大きな影響を与えることになったのですが、この原因はVPN機器の脆弱性を突いて侵入した可能性が高いとされています。
この記事では、VPNのセキュリティ強化方法について紹介します。
この記事のまとめ
- 証明書認証を実装する
- ワンタイムパスワードを実装する
- 不正ログイン検知機能を実装する
- IPアドレスの制限(国やブラックIPなど)
- ファームウェアをバージョンアップする
名古屋港のインシデントに対する国交相の推奨対策
名古屋港統一ターミナルシステムがランサムウェアに感染したことを受け、国交相が推奨対策内容を公開しています。
https://monoist.itmedia.co.jp/mn/articles/2310/10/news055_3.html
簡単に箇条書きにすると以下の通りです。
- 接続元のIPアドレスの制限
- ユーザー認証に複数の方法を必要とさせる
- 不正ログイン検知機能の実装
- 定期的なログの取得とバックアップの保存
- ファイアウォールの設置
- ネットワーク機器の新品への交換(不正アクセスの踏み台防止)
これは色々とツッコミどころがありまして、まず「接続元IPアドレス制限」これは現実的に設定可能なのでしょうか。IPアドレスなんて、携帯ネットワーク、自宅、ホテルなどのフリーWifi、接続場所によってコロコロと変わります。国やブラックIPを制限することは可能と思いますが、それ以上は難しいでしょう。
次にファイアウォールの設置ですが、普通はあるものですよね。。。ファイヤウォール無しでVPNを運用しているとは考えにくいですが、不必要なポートを制限することはとても重要です。
ID・パスワード認証だけでは脆弱
VPNにアクセスする際、IDとパスワードだけではとても脆弱です。なぜかというと、これらが漏洩すると世界中のどこからでもアクセスができてしまうからです。「漏洩しなければ安全では?」と思うかもしれませんが、IDとパスワードを吐き出してしまう脆弱性も存在します。
VPNセキュリティ強化①証明書認証の実装
VPNサーバと接続元のPCに証明書を適用し、認証させる方法です。IDとパスワードが一致していても、この証明書が無いと認証不可とします。
証明書の種類として、ユーザー証明書とデバイス証明書の2種類があります。ユーザー証明書はVPNユーザーと連動する証明書です。VPNユーザーAに対して、Aという証明書を求める方法です。接続IDと証明書が一致しないと認証されませんが、どのPCにも証明書をインストールできてしまうというデメリットがあります。
もう1つのデバイス証明書は、接続元PCのMACアドレスごとに証明書を発行する方式です。この方法だと、仮に証明書が漏洩しても他のPCにインストールできません。接続元PCをコントロールできるセキュリティの高い方式ですが、PCを入れ替える場合など、証明書再発行が必要になることがあります。
証明書をインストールする際はインストール用パスワードを設定することが一般的です。これだけでかなりセキュリティ強化になると思われます。
ワンタイムパスワードを実装する
ワンタイムパスワードとは、1分間など一定時間のみ有効なパスワードのことです。ワンタイムパスワード発行は以下のような方法があります。
- トークン(物理デバイス)を用いる
- スマホアプリ(Authenticator など)を用いる
- VPNユーザーIDに紐づくメールアドレスに送信する
物理デバイスは配布するための工数や、紛失した場合の対策を考える工数も必要になります。スマホアプリも同様でスマホを紛失した場合の対処方法を考えておく必要があります(MDMでデータ消去させるなど)。メールアドレスへのワンタイムパスワード送付が一番手っ取り早いかもしれませんが、VPN未接続状態でメール受信可能な環境を構築する必要があります。
不正ログイン検知機能の実装
不正ログインとは、脆弱性悪用によるログインなど色々なことが考えられますが、不正ログインが発覚したタイミングでそのアカウントを無効化する必要があります。
日々ログを見ていけば不正ログインが発生したことを確認できるかと思いますが、それはとっても大変です。そのため、SIEMなどのログ分析システムを導入するか、SOCでログ分析を依頼する方法が現実的です。どちらも高価なので、慎重に導入を検討していく必要があります。
ログはその時点のログだけでなく、3年くらいは蓄積しておくことが望ましいです。そのためログ集中管理サーバを構築しここに保存していくシステム構成が良いかと思います。
接続元IPアドレスを制限する
接続元IPアドレスを制限できればセキュリティは向上しますが、どこまで制限できるかは検討が必要です。例えば日本国内を考えた場合、グローバルIPアドレスは、スマホなどの携帯ネットワーク、ホテルなどのWifi、自宅のインターネット環境、どれも異なるグローバルIPアドレスで接続することになります。
ここで制限できるIPアドレスは、国や、ブラックIPアドレスリストなどです。VPN利用者が日本国内に限定されるのであれば、日本以外の国のグローバルIPアドレスを全てブロックします。また、ブラックIPアドレスリストとは、大量の不正なメール送信や、不正なサイトを運営しているIPアドレスのことです。ここから接続要求があった場合にブロックすることが重要です。
VPNやファイヤウォールのファームウェアをバージョンアップする
いくらセキュリティを強化しても、脆弱性があり悪用されると、不正アクセスを許してしまうことになります。そのため新しいファームウェアがリリースされたら早めに適用することが重要です。
ファームウェアのバージョンアップは中々勇気のいる作業です。なぜかというと、バージョンアップにより設定が消えたり、追加設定が必要になる可能性があるからです。そのため、ファームウェアのバージョンアップを行う際はシステムベンダーに依頼するなど専門知識を持った人にやってもらうのが良いと考えます。
VPNは便利だけど危険
VPNは世界中どこからでも社内システムにアクセスできるので、とても便利ですが、とても危険です。VPNを利用する場合には、セキュリティを強固に保つだけでなく、不要なアカウントを削除するなど日々のメンテナンスを忘れずに運用することが必要です。
コメント